Реализация IPsec и L2TP в Windows 2000

Переводы статьи Переводы статьи
Код статьи: 265112 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Данная статья, безопасность протокола IP (IPsec) и его реализации в Windows 2000 и Windows Server 2003. Также обсуждаются IPsec и уровня 2 взаимодействие туннельный протокол второго уровня (L2TP) с помощью продуктов независимых производителей.

Дополнительная информация

Описание IPsec

IPsec позволяет шифровать данные, как он передается между двумя компьютерами, защищая их от изменения и интерпретации. IPsec — это ключевую линию обороны от внешних атак и внутренней частной сети. Несмотря на то, что большинство стратегий обеспечения безопасности сети направлены на предотвращение атак из вне сети организации, большое количество конфиденциальной информации могут быть потеряны, внутренние атаки, интерпретации данных в сети. Большинство данных не защищен при пересылке по сети, таким образом, сотрудники, поддерживающий сотрудниками или посетители смогут подключите к сети и копирование данных для последующего анализа. Кроме того, их можно подключить уровне сетевых атак других компьютеров. Брандмауэры не обеспечивают защиту от таких внутренних угроз, таким образом, используя протокол IPsec обеспечивает значительно повышает безопасность корпоративных данных.

IPsec — это служба, которая дает администраторам возможность наблюдения за трафиком, проверьте адреса и применение различных методов безопасности для IP-пакетов данных, независимо от того, какая программа создает данные безопасности.

С помощью фильтрации IP, IPsec проверяет все IP-пакетов для адресов, портов и протоколов передачи. Сказать, правил, содержащихся в локальной или групповой политики IPsec, чтобы игнорировать или защиты определенных пакетов, в зависимости от того, сведения об адресации и протокола.

Реализация IPsec в Windows 2000 и Windows Server 2003

Протокол IPsec и обмена ключами в Интернете (IKE), только включенные в Windows 2000 и Windows Server 2003. Эти операционные системы настолько, насколько можно первый выпуск — по-прежнему существуют некоторые аспекты документы RFC, которые не были реализованы придерживаться набора IPsec RFC (2401 +). Она тесно связана с много других аспектов этих операционных систем, таких как стек протокола TCP/IP, устройства Plug and Play, службы сертификации и криптографические модули (CAPIv2) и в некоторой степени групповой политики для доставки политики IPsec на основе каталогов.

По умолчанию только протокол L2TP использует IPsec для обеспечения безопасности пакетов IP UDP 1701, которые туннеля. IPsec не включается в Microsoft Windows 98. Протокол IPsec и связанных служб в Windows 2000 и Windows Server 2003 были совместно разработаны корпорацией Майкрософт и Cisco Systems, Inc. Реализация L2TP, сам выполнить корпорацией Майкрософт и интегрируется с IPsec после бета-версии 2.

Components:

  • Драйвер IPsec, который отслеживает и фильтров защиты трафика.
  • Безопасность связи ключа управления протокола (ISAKMP/Oakley) ключа обмена и службы управления наблюдать за согласования безопасности между узлами, которые предоставляет ключи для использования с алгоритмами безопасности.
  • Агент политики, который ищет политик и доставляет их в драйвер IPsec и ISAKMP.
  • Политики IP-безопасности и сопоставлений безопасности на основе этих политик, определяющих среду безопасности, в котором связи двумя узлами.
  • API ассоциации безопасности, который обеспечивает взаимодействие между драйвером IPsec ISAKMP и агента политики.
  • Средства управления, создание политики контроля IP статистики безопасности и IP-безопасности журнала событий.

Взаимодействие компонентов

  • Пакет IP совпадает с IP-фильтра, который является частью IP политики безопасности.
  • Политики IP-безопасности может иметь несколько методов безопасности необязательно. Драйвер IPsec необходимо знать, какой метод следует использовать для защиты пакетов. Драйвер IPsec запрашивает что ISAKMP согласовывать метод безопасности и ключ контроля доступа.
  • ISAKMP согласовывает метод безопасности и отправляет его с помощью ключа безопасности драйвер IPsec.
  • Сопоставление безопасности IPsec становятся метод и ключ (SA). Драйвер IPsec хранит данного сопоставления безопасности в базе данных.
  • Оба связи узлов необходима для обеспечения безопасности или небезопасные IP трафик, так как необходимо знать и сохранения сопоставления безопасности.

Методы безопасности IP

Методы IP-безопасности применяются к IP-пакет с IPsec драйвера. Существует два способа, может быть использован, отдельно или новая. Двумя способами:
  • Целостности данных и адресов с помощью ключевого хэширования (HMAC)
  • Целостность данных, а также конфиденциальность посредством шифрования

Конфигурация политики IPsec

Можно использовать консоль управления (MMC) можно использовать для повышения защиты одноадресной IP-трафика с помощью конфигурации "политики", которая основана на клиент и сервер или маршрутизатор. Можно настроить эту политику локально (с помощью политики безопасности IP на локальный компьютер объект snap-in) или в Active Directory (с помощью политики безопасности IP на Active Directory инструментов). При применении политики IPsec использует фильтры пакетов, чтобы определить, какой трафик, безопасность, блок или разрешить. Когда она защищает трафик, IKE используется для согласования параметров безопасности и шифрования обмена ключами и установления сопоставлений безопасности IPsec и автоматической смены ключа. IPsec работает незаметно, чтобы слои выше IP.

Если политика IPsec задает IKE можно использовать протокол безопасности Kerberos 5 для Windows для проверки подлинности компьютера во избежание требования для развертывания сертификатов. Реализация Windows 2000 и Windows Server 2003 согласно черновик Derrell Piper (как описано далее в этой статье). Для IPsec, ключ только для IKE, Kerberos не используется проверка подлинности основного режима. Не расширения Kerberos используются в билете, так как он не является пользователем или билет службы — это компьютер билет--таким образом, он будет работать при настройке или операционной системы для совместимости с MIT Kerberos 5 режим с другими компьютерами, которые являются членами сфер Kerberos 5. Для получения дополнительных сведений см. ниже веб-узлов:
http://TechNet.Microsoft.com/en-US/WindowsServer/2000/bb735396.aspx
http://TechNet.Microsoft.com/en-us/library/bb742432.aspx
http://www.IETF.org/
Контактные данные независимых производителей предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку.. Эти данные могут быть изменены без предварительного уведомления.. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей..

IPsec API и политики

В Windows 2000 и схему интерфейсов API Windows Server 2003 IPsec и политика не опубликованные еще. IKE и IPsec удостоверения защита режиме (основного и быстрого режима) не сдать сами интерфейсы API на основе программы, ориентированный на установление соединения. IPsec не предназначен для замены для методов с ориентацией на подключения SSL/TLS обычно используется для защиты Web связи.

Определение "политика" Windows 2000 и Windows Server 2003 представляет собой набор параметров относящиеся к IPsec, которые могут быть доставлены и затем применяются к узлу. 'Policy' implies static settings/data that have not been evaluated on the enforcement point of the end-computer that receives these settings. The typical IPsec deployment is for a domain administrator to configure an IPsec policy in Active Directory as needed for clients, servers, and other special-purpose computers, and then assign it and deliver it by using the Group Policy system. You can also fully configure the IPsec policy .

Microsoft intends to change the policy storage formats in future releases of Windows. Therefore, the Windows IPsec directory policy and local registry storage formats are considered a Microsoft private, unpublished data structure.

You can still batch script IPsec policy creation. Ipsecpol.exe is a command-line tool in the Microsoft Windows 2000 Resource Kit that you can use to script policy construction (documentation is included with the tool). In the Support Tools folder on the CD-ROM, you can use thenetdiag.exe /test:ipsec /v /debugcommand to see the details of the IPsec policy, filtering, and so on (if you are logged on with the same privileges as the user who assigned the policy).

For a future release (not necessarily the next release), Microsoft is working on APIs that allow API clients to plumb filters and offers to the engine. Microsoft will make APIs available after a detailed third-party vendor design review. Policy-management solutions will be able to design their own policy formats and then plumb them to the IPsec system by using the APIs.

Work is being done on a proposal for an IPsec policy model/schema as a first draft of what an administrative policy-oriented API might support. However, vendors and interested customers would need to review this draft substantially to see if the model would work. For additional information, see the following Web site:
http://www.ietf.org/proceedings/01aug/slides/ipsp-3/
Контактные данные независимых производителей предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку.. Эти данные могут быть изменены без предварительного уведомления.. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей..

IPsec interoperation

Для сценариев виртуальной частной сети (VPN) Корпорация Майкрософт рекомендует IPsec туннелирует только для шлюза к шлюзу сценариев, в котором L2TP/IPsec не будет работать и для сценариев к шлюзу (не VPN удаленного доступа из-за реализацию RFC-совместимые туннеля и поэтому не поддерживает IKECFG или XAUTH клиентов) которых каждой точке имеет статический IP-адрес и поэтому статических правил IPsec, фильтры, позволяющие туннеля.Для получения дополнительных сведений о настройке IPSec-туннелирование в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
252735Настройка туннелирования IPSec в Windows 2000
Хотя технически можно настроить политику фильтры для туннелей IPsec для протоколов и портов (поскольку средство настройки политики имеет очень общий), эти типа туннелей, не поддерживаются корпорацией Майкрософт. Взаимодействие с IPsec четко не определено. Некоторые поставщики решили свои собственные программы. Оба указанных ниже веб-узлов Проведение тестирования программы взаимодействия:
http://www.ICSA.NET
http://www.vpnc.org
Windows 2000 и Windows Server 2003 не отправлены в любую из них еще. Определяет спроса и обзор взаимодействия условия в этих программах, тестирования и способ использования IPsec, будет ли применяться для сертификации в этих программах корпорации Майкрософт.

Предлагаемые взаимодействия уровней

  • Протокол совместимости:
    Можно определить, просмотрев режимов работы, методы проверки подлинности (например, поддержка поставщика сертификата, иерархии, размеры ключей) и методы безопасности и технических спецификаций, поддерживаемые возможности, такие как функции IKE (такие как DES, 3DES, MD5 и PFS).
  • Протокол взаимодействия:
    Инженеры, можно настроить некоторые версии двух продуктов для отправки и получения данных. Наиболее раннюю версию этого является то, что проверяется на семинары взаимодействие поставщика; более новую версию этого теста групп продуктов, которые сделали.
    Обратите внимание, что взаимодействия семинары часто не проверить код розничной торговли. Окончательная версия Windows 2000 сборки 2195, использованный в последний семинар. Семинар взаимодействия результаты не являющихся открытыми, так как они проектирование семинары для тестирования при разработке продуктов. Результаты доступны только для инженеров, тестирование кода.
  • Совместимых продуктов:
    Работает как клиент хочет настроить его в конкретной ситуации (это реальная работа) и «operationally проверяется» (она соответствует требованиям к надежности и управляемости и выполняет загрузку трафика в реальном). Тестирование поставщика является возможным только для нескольких сценариев с несколькими продуктами и клиенты должны проверять тестирования из-за их безопасности и эксплуатационных требований часто являются уникальными.

Взаимодействие L2TP/IPsec

Windows 2000 и Windows Server 2003, совместимый с RFC 2661 («туннельный протокол»). RFC 2661 указывает, что могут быть защищены с помощью IPsec L2TP-трафика, но не предоставляет сведений о реализации безопасности. Документ Интернета черновик в данный момент работали, укажите детали защиты трафика L2TP с IPsec. Черновик Интернет-документы работают документов Internet Engineering Task Force (IETF), его области и ее рабочей группы.

Поскольку L2TP защиты трафика с помощью IPsec, еще не стандарт (для него отсутствует RFC), взаимодействия этих операционных систем Windows, с использованием L2TP/IPsec необходимо протестировать на совместимость.

Используйте следующие основные сведения о защиты трафика L2TP, используя IPsec в Windows 2000 и Windows Server 2003 в качестве руководства при тестировании со сторонними поставщиками.
  • Сертификаты используются для проверки подлинности компьютеров — имеется возможность использовать предварительный ключ для тестирования.
  • В режиме транспорта IPsec используется для защиты L2TP трафика.
  • Для исходного и конечного портов используется UDP-порт 1701. Это не согласованным.
Корпорация Майкрософт продолжает тестирование только IPsec и L2TP/IPsec с другими поставщиками, в зависимости от спроса. При обнаружении проблем, будут опубликованы статьи базы знаний Майкрософт. Последние веб-узел корпорации Майкрософт по следующему адресу взаимодействия информации:
http://support.microsoft.com
Чаще некоторые поставщики заявляют, взаимодействие с Windows 2000 и Windows Server 2003, даже если корпорация Майкрософт может не имели возможность проверить его с данным поставщиком.

security

Microsoft взял несколько шагов для обеспечения качества проектирования и просматривает реализация, которая включила внутренних и внешних (закрытый) структуры и кода. Корпорация Майкрософт будет продолжать предоставлять документацию и для пользователей в правильное использование. Как с помощью любого средства безопасности, важно прочитать, пользователи электронной документации по справке и Resource Kit тщательно понять IPsec и его использование. IKE и IPsec, реализуются в стандартах IETF RFC, но они по-прежнему новых технологий в отрасли, которая означает, что они будут поступать в высокой безопасности и атак злоумышленников.

Корпорация Майкрософт рекомендует следующие действия для создания безопасной среды.
  • Установите пакет обновления строгого шифрования для получения возможности шифрования 3DES для всех компьютеров, которые предполагается использовать IPsec. Можно загрузить этот веб-узел Майкрософт:
    http://windowsupdate.microsoft.com/
    .
  • Убедитесь, что политики IPsec требуется 3DES, только когда необходим конфиденциальности для связи IPsec. Для полностью надежного от криптографических атак показывают шифрование DES. Используйте аппаратное ускорение 3DES адаптеров, поддерживающих IPsec для компьютеров, для которых требуется высокая пропускная способность для трафика, защищенного IPsec.
  • Включение аудита в журнал безопасности для входа в систему и выхода из нее проблемы и отслеживания этих проблем, связанных с IPsec событий 541 и 542.
  • Для событий IPsec в журнале системы источника.
  • Обновление до последнего пакета обновления (если он освобождается) для получения последних исправлений и обновлений для системы безопасности для компонентов компьютера. Примените выпущенная кандидата, при наличии последних пакетов обновления (в лабораторных условиях) для проверки работы до окончательной версии. Немедленно обратитесь к представителю службы поддержки о неполадках.
  • При проектировании развертывания IPsec, обратитесь к базе знаний Майкрософт (http://support.Microsoft.com/search) для последних сведений о конфигурации, известные проблемы и способы их устранения.
  • Мониторинг (веб-узел безопасности корпорацииhttp://www.Microsoft.com/TechNet/Security) для получения последних новостей по безопасности и исправлений.
  • Если вы считаете, что обнаружил уязвимость воспроизводится, обратитесь к secure@microsoft.com. Please provide as much detail as possible in order to expedite the investigation.

Microsoft points of contact

For media inquiries, contact Waggener Edstrom at 425-637-9097. Identify that you are inquiring about IPsec and network security. They will be able to contact the appropriate product management and technical resources to help you.

For IPsec as a technology in the Windows platform, please send an e-mail message to ipsecreq@microsoft.com.

Microsoft customers with support agreements have access to Windows 2000 Support Professionals who have been working with the product team over the course of the Windows 2000 beta cycle. Customers who already deploy or will deploy Windows 2000 or Windows Server 2003 IPsec for end-to-end or end-to-router scenarios should contact their Microsoft Support Representative directly. For information about Microsoft Support options, visit the following Microsoft Web site:
http://support.microsoft.com/default.aspx?scid=fh;RU;CNTACTMS
Microsoft needs customer and vendor feedback to improve the functionality in the platform. We would like to know who is using it and how, and what your experience is. To that end, it is most helpful if customers escalate issues through the support channel. If you are an IPsec vendor and have a specific implementation or interoperation question, see our walkthrough and Microsoft Knowledge Base articles for how to turn on debugging. After investigation, send an e-mail message to the alias on the interoperation test site, explain who you are, what is happening, and so on.

The online Help (in both Windows 2000 Professional and Server) contains the same content for IPsec, but it is represented differently in the table of contents. The online Help is also available at the following Microsoft Web site:
http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx
The Windows 2000 Server Resource Kit is oriented to network and server administrators who are new to IPsec. For information about the Windows 2000 Resource Kit, see the following Microsoft Web site:
http://www.Microsoft.com/TechNet/prodtechnol/windows2000serv/ResKit/Default.mspx
Подробные инструкции по использованию IPsec для защиты трафика-сторонами, а также дополнительные сведения о реализации доступна на веб-узле корпорации Майкрософт:
http://www.Microsoft.com/downloads/details.aspx?FamilyId=501a48d5-a3ee-4094-aeb4-16bbff098810
Группы новостей сети Windows 2000 находится в microsoft.public.win2000.networking.Дополнительные сведения см. в следующих статьях базы знаний Майкрософт::
257225IPsec при устранении неполадок в Microsoft Windows 2000 Server
259335Устранение основных L2TP/IPSec в Windows 2000
248750Описание политики IPSec для L2TP/IPSec
Сведения о Windows 2000, на виртуальной частной сети и поддерживающие взаимодействие с виртуальной частной сети содержатся в разделе веб-узла Microsoft:
http://TechNet.Microsoft.com/en-us/library/bb742565.aspx

Свойства

Код статьи: 265112 - Последний отзыв: 19 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbinfo kbipsec kbnetwork kbmt KB265112 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:265112

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com