Implementazione di IPsec e L2TP in Windows 2000

Traduzione articoli Traduzione articoli
Identificativo articolo: 265112 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Questo articolo viene descritto IP Protocol Security (IPsec) e la relativa implementazione in Windows 2000 e in Windows Server 2003. Inoltre, in questo articolo viene descritto IPsec e livello di interoperabilitÓ di 2 Tunneling Protocol (L2TP) con prodotti di terze parti.

Informazioni

Descrizione di IPsec

IPsec Ŕ progettato per crittografare i dati trasmessi tra due computer, proteggere i dati dalle modifiche e dall'interpretazione. IPSec rappresenta una linea chiave di difesa contro attacchi interni, esterni e di reti private. Sebbene la maggior parte delle strategie di protezione di rete siano incentrate sulla prevenzione degli attacchi esterni, Ŕ opportuno considerare che moltissime sono le informazioni riservate perse in seguito ad attacchi interni che mirano a interpretare i dati trasmessi in rete. La maggior parte dei dati non sono protetti quando viaggiano attraverso la rete, pertanto dipendenti, supporta i membri del personale o i visitatori potrebbero essere in grado di collegare i dati di rete e copiare per analisi successive. Il pericolo Ŕ anche quello di attacchi a livello di rete contro altri computer. I firewall non offrono alcuna protezione contro tali minacce interne, in modo che l'utilizzo di IPsec offre una protezione notevolmente maggiore per i dati aziendali.

IPsec Ŕ un servizio che consente agli amministratori di monitorare il traffico, esaminare indirizzi e applicare vari metodi di protezione al pacchetto di dati IP indipendentemente dal programma genera i dati di protezione.

Utilizzo di filtraggio IP, IPsec esamina tutti i pacchetti IP per indirizzi, porte e protocolli di trasporto. Le regole contenute nei criteri locali o di gruppo indicano IPsec per ignorare o pacchetti specifici, in base alle informazioni di indirizzamento e il protocollo di protezione.

Implementazione di IPsec in Windows 2000 e in Windows Server 2003

IPsec e IKE (Internet Key Exchange) Ŕ incluso solo in Windows 2000 e in Windows Server 2003. Questi sistemi operativi rispettare la suite di RFC IPsec (2401 +) come una versione prima possibile-sono presenti alcuni aspetti della RFC che non sono state implementate. ╚ strettamente integrato con molti altri aspetti di questi sistemi operativi, ad esempio lo stack TCP/IP, la periferica Plug and Play, Servizi certificati e moduli di crittografia (CAPIv2) e in qualche misura, criteri di gruppo per la distribuzione dei criteri IPsec basati su directory.

Solo L2TP utilizza IPsec per impostazione predefinita per proteggere i pacchetti UDP 1701 IP il tunnel. IPsec non Ŕ incluso in Microsoft Windows 98. IPsec e servizi correlati in Windows 2000 e in Windows Server 2003 sono stati sviluppati da Microsoft e Cisco Systems, Inc. L'implementazione di L2TP stesso Ŕ eseguito da Microsoft e integrato con IPsec dopo Beta 2.

Componenti

  • Il driver IPsec che esegue il monitoraggio, filtri e protegge il traffico.
  • Internet Security Association Key Management Protocol (ISAKMP/Oakley) chiave exchange e Gestione servizi controllare le negoziazioni di protezione tra host e forniscono chiavi per l'utilizzo con algoritmi di protezione.
  • L'agente del criterio che ricerca per i criteri e li invia al driver IPsec e ISAKMP.
  • I criteri di protezione IP e le associazioni di protezione derivati da tali criteri che definiscono l'ambiente di protezione in cui due host di comunicare.
  • L'API di associazione di protezione che fornisce l'interfaccia tra il driver IPsec, ISAKMP e l'agente del criterio.
  • Gli strumenti di gestione che consente di creare criteri, IP di monitorare le statistiche di protezione e registro eventi di protezione IP.

Interazione di componenti

  • Un pacchetto IP corrisponde a un filtro IP che fa parte di un indirizzo IP criteri di protezione.
  • I criteri di protezione IP possono avere diversi metodi di protezione facoltativo. Il driver IPsec Ŕ necessario specificare il metodo da utilizzare per proteggere il pacchetto. Il driver IPsec richiede che ISAKMP negoziare un metodo di protezione e la chiave di protezione.
  • ISAKMP negozia un metodo di protezione e lo invia al driver IPsec con una chiave di protezione.
  • Il metodo e la chiave diventano associazione di protezione IPsec (SA). Il driver IPsec Archivia questa associazione di protezione nel proprio database.
  • Entrambi gli host di comunicazione necessario per la protezione oppure il traffico IP non protetta, pertanto sia necessario conoscere e archiviare l'associazione di protezione.

Metodi di protezione IP

Metodi di protezione IP vengono applicati a un pacchetto IP tramite IPsec il driver. Esistono due metodi di protezione che possono essere utilizzati, separatamente o in contemporanea. I due metodi sono:
  • IntegritÓ dati e indirizzi, tramite un hash con chiavi (HMAC)
  • L'integritÓ dei dati e la riservatezza tramite la crittografia

Configurazione dei criteri IPsec

╚ possibile utilizzare Microsoft Management Console (MMC) pu˛ essere utilizzato per aumentare la protezione del traffico IP Unicast utilizzando una configurazione "criteri" che si basa sul client e server o router. ╚ possibile configurare questo criterio locale (tramite Criteri di protezione IP su snap-in computer locale) o in Active Directory (utilizzando criteri di protezione IP Active Directory strumenti). Quando si applica il criterio, IPsec utilizza filtri di pacchetti per determinare quale traffico sicuro, blocco o consentire. Quando protegge il traffico, IKE viene utilizzato per negoziare le impostazioni di protezione ed eseguire gli scambi di chiavi crittografici, SA IPsec definizione e automatici rigenerazione delle chiavi. IPsec funziona come in modo trasparente possibile livelli di sopra IP.

Se il criterio IPsec specifica, Ŕ possibile che IKE utilizzare il protocollo di protezione Kerberos 5 di Windows per l'autenticazione del computer per evitare la necessitÓ di distribuzione di certificati. L'implementazione di Windows 2000 e Windows Server 2003 Ŕ a seconda bozza del Pifferaio Derrell (come descritto pi¨ avanti in questo articolo). Definizione delle chiavi, solo per IKE di IPsec non consente di Kerberos autenticazione computer in modalitÓ principale. PoichÚ non Ŕ un utente o un ticket di servizio--Ŕ un ticket del computer, in modo che dovrebbe funzionare quando si configura un sistema operativo per compatibilitÓ di MIT, non estensioni di Kerberos vengono utilizzate nel ticket di modalitÓ di Kerberos 5 con altri computer che sono membri di aree di autenticazione Kerberos 5. Per ulteriori informazioni, vedere i seguenti siti Web:
http://technet.microsoft.com/en-us/windowsserver/2000/bb735396.aspx
http://technet.microsoft.com/en-us/library/bb742432.aspx
http://www.ietf.org/
Microsoft fornisce informazioni su come contattare altri produttori allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono pertanto soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni sul contatti-altri produttori.

API di IPsec e criteri

Windows 2000 e dello schema di criteri e le API di IPsec di Windows Server 2003 non sono stati pubblicati ancora. IPsec e IKE identitÓ-modalitÓ protetta (modalitÓ principale e modalitÓ rapida) non prestare stessi alle API del programma, orientato alla connessione. IPsec non Ŕ progettata come sostituzione per i metodi orientati alla connessione SSL/TLS in genere utilizzato per proteggere Web comunicazioni.

La definizione di Windows 2000 e Windows Server 2003 di "criteri" Ŕ un insieme di impostazioni di IPsec specifici che possono essere recapitati e quindi applicato il tipo di host. "Criteri" implica impostazioni/dati statici che non sono stati valutati nel punto di imposizione del fine-computer che riceve tali impostazioni. La tipica distribuzione di IPsec Ŕ un amministratore di dominio di configurare un criterio IPsec in Active Directory necessari per i client, server e altri computer a uno scopo speciale, quindi assegnarle e recapitarlo utilizzando il sistema di criteri di gruppo. ╚ possibile configurare completamente anche il criterio IPsec.

Microsoft intende modificare i formati di archiviazione criteri nelle versioni future di Windows. Di conseguenza, il criterio di IPsec in Windows Active directory e di un formati di archiviazione del Registro di sistema locale sono considerati una struttura di dati privata e non pubblicato di Microsoft.

╚ comunque possibile script batch di creazione dei criteri IPsec. Ipsecpol.exe Ŕ uno strumento della riga di comando in Microsoft Windows 2000 Resource Kit consente di eseguire script Criteri di costruzione (documentazione Ŕ inclusa nello strumento). Nella cartella Support Tools sul CD di, Ŕ possibile utilizzare il comando netdiag.exe/test: IPSec /v /debug per visualizzare i dettagli del criterio IPsec, filtri, e cosý via (se Ŕ connessi con gli stessi privilegi dell'utente che ha assegnato il criterio).

Per un futuro rilascio (non necessariamente la versione successiva), Microsoft sta lavorando su API che consentono di API client canalizzare filtri e offre al modulo di gestione. Verranno resi API disponibile dopo una progettazione dettagliata di terze parti esaminare. Gestione dei criteri soluzioni potranno progettare i propri formati dei criteri e canalizzare li al sistema IPsec utilizzando le API.

Lavoro da avviene in una proposta per un modello di criteri IPsec/schema come una prima bozza di un'API orientato ai criteri amministrativa potrebbe supportare. Tuttavia, fornitori e clienti interessati necessario esaminare la bozza sostanzialmente per vedere se il modello non funzionerebbe. Per ulteriori informazioni, vedere il seguente sito Web:
http://www.ietf.org/proceedings/01aug/slides/ipsp-3/
Microsoft fornisce informazioni su come contattare altri produttori allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono pertanto soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni sul contatti-altri produttori.

InteroperabilitÓ di IPsec

Per scenari di rete privata virtuale (VPN), si consiglia di che IPSec tunnel solo per scenari da gateway a gateway in cui L2TP/IPsec non funzionerÓ e per gli scenari-gateway (non VPN remoto accesso client, perchÚ Ŕ un'implementazione di tunnel compatibile con RFC e in modo che non supporta IKECFG o XAUTH) in cui di dispone di un indirizzo IP statico e di pertanto statiche regole IPsec con filtri per attivare il tunnel in ogni punto. Per ulteriori informazioni sulla configurazione di tunneling IPSec in Windows 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
252735Configurazione della modalitÓ Tunnel IPSec in Windows 2000
Anche se Ŕ tecnicamente possibile configurare criteri di filtri per fornire i tunnel IPsec per i protocolli e porte, poichÚ lo strumento di configurazione dei criteri Ŕ molto generale, questi tipo di tunnel non sono supportati da Microsoft. Non Ŕ definito chiaramente l'interoperabilitÓ di IPsec. Alcuni fornitori hanno deciso di eseguire il proprio programma. Entrambi i seguenti siti Web sono svolgimento della sessione test dei programmi di interoperabilitÓ:
http://www.icsa.net
http://www.vpnc.org
Windows 2000 e Windows Server 2003 che non sono state inviate a uno di questi ancora. Richiesta del cliente e revisione dei criteri di interoperabilitÓ utilizzati in questi programmi di test e come desiderano utilizzare IPsec consente di verificare se Microsoft verranno applicate per la certificazione in questi programmi.

Livelli di interoperabilitÓ suggerita

  • Protocollo compatibile:
    Pu˛ essere determinato mediante specifiche tecniche delle opzioni supportate, ad esempio funzionalitÓ di IKE e le modalitÓ operative, metodi di autenticazione (ad esempio il supporto del fornitore di certificati, gerarchie, le dimensioni delle chiavi) e i metodi di protezione (ad esempio DES, 3DES, MD5 e PFS).
  • Protocollo di interoperabilitÓ:
    I tecnici Ŕ possono configurare alcune versioni dei due prodotti per inviare e ricevere dati. La versione pi¨ bassa per questo Ŕ ci˛ che Ŕ sottoposta al fornitore workshop di interoperabilitÓ e la versione pi¨ alta di questo Ŕ cosa sarebbe team di test del prodotto.
    Si noti che workshop interoperabilitÓ spesso non prova codice finale. La versione finale di Windows 2000, la build 2195, Ŕ stato utilizzato nel workshop l'ultimo. Workshop interoperabilitÓ risultati non sono public perchÚ questi sono engineering Workshop per verificare i prodotti in fase di sviluppo. I risultati solo sono significativi per i tecnici di test del codice.
  • Prodotto interattivo:
    Funziona in modo il cliente desidera configurarlo in uno scenario specifico (eseguire il lavoro effettivo) e "funzionamento verifica" (requisiti di affidabilitÓ e gestibilitÓ ed esegue carichi di traffico reale). Test di un fornitore, Ŕ possibile solo per alcuni scenari con alcuni prodotti e i clienti devono verificare il test dal momento che la protezione e requisiti operativi spesso sono univoci.

InteroperabilitÓ di L2TP/IPsec

Windows 2000 e Windows Server 2003 sono compatibili con RFC 2661 ("Layer Two Tunneling Protocol"). RFC 2661 indica che il traffico L2TP pu˛ essere protetto con IPsec, ma non fornisce dettagli sull'implementazione di questo livello di protezione. Un documento bozza Internet Ŕ attualmente fase che verrÓ specificare i dettagli di proteggere il traffico L2TP con IPsec. Documenti in bozza Internet utilizzano i documenti di Internet Engineering Task Force (IETF), le aree e i gruppi di lavoro.

PoichÚ il traffico la protezione di L2TP con IPsec non Ŕ ancora uno standard (non esiste nessun RFC perchÚ), l'interazione di questi sistemi operativi di Windows utilizzando L2TP/IPsec deve essere testato.

Utilizzare le seguenti informazioni di base sulla protezione del traffico L2TP utilizzando IPsec in Windows 2000 e Windows Server 2003 come guida, quando si esegue il test con fornitori di terze parti:
  • I certificati vengono utilizzati per l'autenticazione del computer, Ŕ possibile utilizzare una chiave giÓ condivisa per la verifica.
  • La modalitÓ di trasporto di IPsec viene utilizzata per L2TP di proteggere il traffico.
  • Porta UDP 1701 viene utilizzata per le porte di origine e destinazione. Si tratta di non negoziabile.
Microsoft continua a eseguire il test sia L2TP/IPsec che IPsec solo con altri fornitori in base alle esigenze dei clienti. Se vengono rilevati problemi, verranno pubblicati articoli della Microsoft Knowledge Base. Visitare il sito Web Microsoft per la versione pi¨ recente su interoperabilitÓ informazioni:
http://support.microsoft.com
In genere per alcuni fornitori di richiedere l'interoperabilitÓ con Windows 2000 e Windows Server 2003, anche se Microsoft potrebbe non avere la possibilitÓ di verificarla con tale fornitore.

Protezione

Microsoft ha adottato un numero di passaggi per garantire la qualitÓ della progettazione e implementazione, che include Progettazione (privata) interna ed esterna e codice esamina. Microsoft continuerÓ fornire documentazione e indicazioni ai clienti sul corretto utilizzo. Come con qualsiasi strumento di protezione, Ŕ importante che gli utenti letto la documentazione per comprendere accuratamente IPsec e il relativo utilizzo in linea di Guida in linea e Resource Kit. IPsec e IKE vengono implementati per gli standard IETF RFC, ma sono comunque nuova tecnologia nel settore, ovvero che verranno forniti in esame accurato intenso e attacchi da utenti malintenzionati.

Microsoft raccomanda le seguenti operazioni per garantire un ambiente protetto:
  • Installare il pacchetto aggiornamento di crittografia avanzata per ottenere funzionalitÓ di crittografia 3DES per tutti i computer che si prevede di utilizzare IPsec. ╚ possibile scaricare questo dal seguente sito Web:
    http://windowsupdate.microsoft.com/
    .
  • Assicurarsi che i criteri IPsec richiedono 3DES solo dove sulla privacy per la comunicazione IPsec Ŕ necessaria. ╚ stata utilizzata la crittografia DES come conflitto avanzata contro gli attacchi crittografici. Utilizzare l'accelerazione hardware 3DES con schede di rete abilitati per IPsec per i computer che richiedono alta velocitÓ per il traffico IPsec protetto.
  • Attivare il Registro di protezione controllo per i problemi di accesso e disconnessione e monitorare questi problemi, eventi correlati a IPsec 541 e la cui 542.
  • Monitorare il Registro di sistema per gli eventi da IPsec origine.
  • Aggiornare il service pack pi¨ recente (quando viene rilasciato) per ottenere il pi¨ recenti correzioni e aggiornamenti per i componenti di computer la protezione. Applicare versioni candidato, se disponibile, dei service pack pi¨ recente (nell'ambiente di laboratorio) per la verifica operativa prima del rilascio finale. Rivolgersi al rappresentante del supporto tecnico sui problemi immediatamente.
  • Quando si progetta una distribuzione di IPsec, consultare la Microsoft Knowledge Base (http://support.microsoft.com/search ) per informazioni di configurazione pi¨ recente, problemi noti e soluzioni alternative.
  • Il sito Web Microsoft Security (http://www.microsoft.com/technet/security) Monitor per essere sempre informati delle news di protezione e le patch.
  • Se si ritiene di che aver individuato un problema di vulnerabilitÓ riproducibile, contattare secure@microsoft.com. Fornire i dettagli allo scopo di velocizzare l'indagine.

Microsoft punti di contatto

Per le richieste di supporto, contattare Waggener Edstrom in 425-637 9097. Identificare che sono ricerca sulla protezione di rete e IPsec. Non saranno in grado di contattare la gestione del prodotto appropriato e le risorse tecniche che consentono di.

Per IPsec come tecnologia nella piattaforma Windows, inviare un messaggio di posta elettronica per ipsecreq@microsoft.com.

I clienti Microsoft con contratti di supporto hanno accesso a Windows 2000 supporto professionisti che operano nel corso del ciclo 2000 beta di Windows con il team del prodotto. I clienti che giÓ distribuire o verranno distribuito Windows 2000 o di IPsec di Windows Server 2003 per scenari end-to-end o -router devono rivolgersi direttamente al proprio rappresentante del supporto Microsoft. Per informazioni sulle opzioni di supporto Microsoft, visitare il sito di Web di Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Microsoft richiede commenti di clienti e fornitori per migliorare la funzionalitÓ della piattaforma. Desideriamo sapere chi sta utilizzando e come, e qual Ŕ l'esperienza dell'utente. A tal fine, Ŕ particolarmente utile se i clienti escalation problemi attraverso il canale di supporto. Se si sono un fornitore di IPsec e si dispone di un'implementazione specifica o la domanda di interoperabilitÓ, vedere la procedura dettagliata e articoli della Knowledge Base su come attivare il debug. Dopo l'analisi, Ŕ necessario inviare un messaggio di posta elettronica all'alias nel sito di test di interoperabilitÓ, spiegare che sono, ci˛ che accade e cosý via.

La Guida in linea (in Windows 2000 Professional e server) contiene lo stesso contenuto per IPsec, ma Ŕ rappresentato in modo diverso nella tabella di contenuto. La Guida in linea Ŕ anche disponibile il seguente sito Web Microsoft:
http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx
Il Resource Kit di Windows 2000 Server Ŕ orientato agli amministratori di rete e del server che hanno familiaritÓ con IPsec. Per informazioni su Windows 2000 Resource Kit, vedere il seguente sito Web Microsoft:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx
Procedure dettagliate per l'utilizzo di IPsec per proteggere il traffico inizio alla fine, nonchÚ ulteriori informazioni sull'implementazione Ŕ disponibile all'indirizzo il seguente sito Web di Microsoft:
http://www.microsoft.com/downloads/details.aspx?familyid=501a48d5-a3ee-4094-aeb4-16bbff098810
Il newsgroup di rete di Windows 2000 Ŕ disponibile all'indirizzo microsoft.public.win2000.networking.Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
257225IPsec per la risoluzione di problemi in Windows 2000
259335Risoluzione dei L2TP/IPSec problemi di base in Windows 2000
248750Descrizione del criterio IPSec creato per L2TP/IPSec
Per informazioni sulla rete privata virtuale basato su Windows 2000 e supportano l'interoperabilitÓ VPN, vedere il seguente sito Web Microsoft:
http://technet.microsoft.com/en-us/library/bb742565.aspx

ProprietÓ

Identificativo articolo: 265112 - Ultima modifica: venerdý 12 ottobre 2007 - Revisione: 11.6
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Chiavi:á
kbmt kbinfo kbipsec kbnetwork KB265112 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 265112
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com