在 Windows 2000 中的 IPsec 和 L2TP 实现

文章翻译 文章翻译
文章编号: 265112 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍了 IP 协议安全 (IPsec) 和 $ 在 Windows 2000 和 Windows Server 2003 中的实现。它还讨论了 IPsec,并层与第三方产品的 2 Tunneling 协议 (L2TP) 互操作。

更多信息

IPsec 的说明

IPsec 旨在保护数据修改和破译的两台计算机之间传播时对数据进行加密。IPsec 是防御内部、 专用网络和外部攻击的一个参数行。 尽管多数网络安全策略已致力于防止来自外部组织的网络攻击,了大量的敏感信息可以会丢失通过解释在网络上的数据的内部攻击。大多数数据不受保护,因此支持员工成员或访问者的员工可能能够插入到您的网络并复制数据以备日后分析通过该的网络传输时。他们还可以装载对其他计算机的网络级攻击。防火墙提供了对这类内部的威胁没有保护,因此使用 IPsec 提供了明显更高的安全性,为公司数据。

IPsec 是一个安全服务,它使管理员能够监视通信、 检查地址,并将各种安全方法应用到 IP 数据包,无论哪种程序生成数据。

使用 IP 筛选 IPsec 检查地址、 端口,和传输协议的所有 IP 数据包。在本地或组策略中包含的规则告诉若要忽略或安全的具体情况取决于寻址和协议的信息的特定数据包的 IPsec。

在 Windows 2000 和 Windows Server 2003 中实施 IPsec

IPsec Internet 密钥交换 (IKE) 不包含仅包含在 Windows 2000 和 Windows Server 2003 中。这些操作系统遵循 IPsec RFC 套件中 (2401年 +) 根据第一版可以--仍有未实现的 rfc 的某些方面。与这些操作系统系统如 TCP/IP 堆栈的设备即插即用,证书服务和 $ 加密模块 (CAPIv2),以及在某种程度上提供的基于目录的 IPsec 策略的组策略的其他许多方面,它是紧密集成。

默认情况下,仅 L2TP 使用 IPsec 保护 UDP 1701 IP 数据包的隧道。IPsec 不包含在 Microsoft Windows 98。IPsec 和相关的服务在 Windows 2000 和 Windows Server 2003 中联合由 Microsoft 和 Cisco 系统,Inc.开发L2TP 实施本身已由 Microsoft 和集成使用 IPsec 后 Beta 2。

组件

  • 监视、 筛选,和保护通讯的 IPsec 驱动程序。
  • Internet 安全关联密钥管理协议 (ISAKMP/oakley) 密钥交换和管理服务监督主机,之间的安全协商并提供安全的算法使用的快捷键。
  • 策略代理的查找策略并将它们传送到 IPsec 驱动程序和 ISAKMP。
  • IP 安全策略和安全关联出自定义两台主机进行通信的安全环境这些策略。
  • 提供 IPsec 驱动程序、 ISAKMP,和策略代理之间接口的安全关联 API。
  • 创建策略,管理工具监视 IP 安全统计和记录 IP 安全事件。

组件的交互

  • 一个 IP 数据包与匹配的 IP 筛选器的一部分的 IP 安全策略。
  • IP 安全策略可以有多个可选的安全方法。IPsec 驱动程序需要知道要使用来确保数据包的安全的方法。IPsec 驱动程序请求 ISAKMP 协商安全措施和安全密钥。
  • ISAKMP 协商安全的方法,并将其与安全密钥发送到 IPsec 驱动程序。
  • 方法和密钥成为 IPsec 安全关联 (SA)。IPsec 驱动程序在其数据库中存储该 SA。
  • 这两种通信的主机需要安全或不安全的 IP 通信,都需要知道并存储 SA。

IP 安全措施

IP 安全方法应用于一个 IP 数据包在 ipsec 驱动程序。有两种安全方法可以将用于,单独或使之协调。这两种方法是:
  • 通过键控哈希 (HMAC) 的数据和地址完整性
  • 数据完整性和机密性通过加密

IPsec 策略配置

您可以使用 Microsoft 管理控制台 (MMC) 可用于通过使用配置策略客户端和服务器或路由器上生成的增加的单播 IP 通信保护。本地 (通过使用本地计算机管理单元上的 IP 安全策略) 配置该策略或 Active Directory 中 (通过 Active Directory 上的 IP 安全策略工具)。当您应用策略时,IPsec 确定哪个通信流安全的块或允许使用数据包筛选器。当它保护通信时,IKE 用于协商安全设置和执行加密的密钥交换和 IPsec SA 建立和自动重新生成密钥。IPsec 尽可能 IP 之上的层,透明地工作。

如果 IPsec 策略指定它,IKE 可以使用 Windows Kerberos 5 安全协议的计算机身份验证,以避免对证书部署的要求。Windows 2000 和 Windows Server 2003 的实现根据 Derrell Piper 草稿 (如本文后面所述)。Kerberos 不能用于 IPsec 键控法只对 IKE 主模式计算机身份验证。没有 Kerberos 扩展名在票证中使用,因为它不是用户或服务票证--它是计算机票证--,因此它应工作在两种操作系统配置 MIT 兼容性模式的 Kerberos 5 与 Kerberos 5 领域的成员的其他计算机。 其他的信息,请参阅以下网站:
http://technet.microsoft.com/en-us/windowsserver/2000/bb735396.aspx
http://technet.microsoft.com/en-us/library/bb742432.aspx
http://www.ietf.org/
Microsoft 提供了第三方联系人信息可以帮助您找到技术支持。 此联系信息如有更改,恕不另行通知。Microsoft 不能保证此第三方联系人信息的准确性。

IPsec API 和策略

Windows 2000 和 Windows Server 2003 IPsec api 和策略的架构不已尚未发布。IPsec 与 IKE 身份保护模式同样 (主模式和快速模式) 执行不适用于基于程序的、 面向连接的 api。IPsec 不是作为一个替代 SSL/TLS 面向连接的方法通常用于安全 Web 通信。

策略的 Windows 2000 和 Windows Server 2003 定义是一组特定于 IPsec 的设置,可对其传送到,并可将其然后应用到主机。策略意味着静态设置/数据都不接收这些设置的结束计算机的强制点上计算的。在 Active Directory 中配置 IPsec 策略,根据需要为客户端、 服务器,和其他特殊用途的计算机,然后将其分配,并提供通过使用组策略系统的一个域管理员是典型的 IPsec 部署。您也完全可以配置 IPsec 策略。

Microsoft 计划在将来的版本的 Windows 中策略存储格式更改。因此,Windows IPsec 目录策略和本地注册表存储格式被视为一种 Microsoft 私有、 未发布的数据结构。

您仍然可以批处理脚本创建 IPsec 策略。 Ipsecpol.exe 是在 Microsoft Windows 2000 资源工具包,您可以使用脚本策略构造一个命令行工具 (文档是包含在工具)。在 CD-ROM 上在支持工具文件夹中可以使用 netdiag.exe /test:ipsec/v/debug 命令以查看该的 IPsec 策略的详细信息筛选,依次类推 (如果具有相同的权限为该策略分配给该用户的身份登录)。

未来的发行版 (并不一定在下一个版本) 中,Microsoft 正在允许 API 的 api 在客户端可以检测筛选,并提供了到引擎。Microsoft 将 api 可用后进行了详细的第三方供应商设计检查。策略管理的解决方案将能够设计自己的策略格式,然后将其使用该 api 检测到由 IPsec 系统。

为管理策略面向 API 可能支持的第一个草稿,正在上的 IPsec 策略模型/架构的一个方案进行工作。但是,供应商和感兴趣的客户将需要检查大大以查看是否模型将该草稿。有关更多的信息,请参阅下面的网站:
http://www.ietf.org/proceedings/01aug/slides/ipsp-3/
Microsoft 提供了第三方联系人信息可以帮助您找到技术支持。 此联系信息如有更改,恕不另行通知。Microsoft 不能保证此第三方联系人信息的准确性。

IPsec 互操作

对于虚拟专用网络 (VPN) 方案,Microsoft 建议 IPsec 隧道仅为网关到网关方案中的 l2tp/ipsec 将不起作用,和最终到网关方案 (不是 VPN 远程访问客户端,因为它是一个的兼容 RFC 的隧道实现,因此不支持 IKECFG 或 XAUTH) 其中的每个点都有一个静态 IP 地址和 $ 启用隧道的筛选器的因此静态 IPsec 规则。 有关配置 Windows 2000 中的 IPSec 隧道的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
252735如何配置 Windows 2000 中的 IPsec 隧道操作
尽管从技术上讲,您可以配置策略的协议提供 IPsec 隧道筛选器和端口 (因为策略配置工具是非常常规),Microsoft 不支持这些类型的隧道。 IPsec 互操作性未明确定义。某些供应商决定运行他们自己的程序。这两个以下网站正在进行互操作性测试的程序:
http://www.icsa.net
http://www.vpnc.org
Windows 2000 和 Windows Server 2003 已经不提交给其中任一还。客户要求和互操作的条件使用 IPsec 与他们的需要这些测试的程序中使用的检查将确定在这些程序中的证书是否将应用于 Microsoft。

建议的互操作性级别

  • 协议兼容:
    可以通过查看受支持的选项,如 IKE 功能的技术规格和模式的操作、 身份验证方法 (如证书供应商支持、 层次结构、 密钥大小) 和安全方法来确定 (如 DES,3DES MD5 和 $ PFS)。
  • 互操作的协议:
    工程师可以配置发送和接收数据的两种产品的某些版本。这样的最低版本是供应商互操作性研讨会,在测试和最高的版本,这是产品测试团队将执行哪些操作。
    请注意,互操作的研讨会通常不要测试零售代码。最终版本的 Windows 2000 生成 2195年,使用在上一次研讨会。研讨会互操作的结果不公用,因为它们工程研讨会用于测试产品开发中。结果只是测试他们的代码的工程师以有意义的。
  • 产品可互操作:
    客户希望在特定方案中 (执行实际工作) 对其进行配置的方式工作,"操作性验证"(它满足可靠性和可管理性的要求和执行实际的流量负载)。供应商的测试是可行的情况下仅对具有几个的产品的几个方案,客户必须验证测试,因为它们的安全和运行要求通常是唯一。

l2tp/ipsec 的互操作

Windows 2000 和 Windows Server 2003 是符合 RFC 2661 ("第二层隧道协议")。RFC 2661 指示 L2TP 通信可以使用 IPsec,保护,但不提供有关如何实现此安全性的详细信息。一个 Internet 草稿文档是当前正在处理的将指定保护 IPsec 的 L2TP 通信的详细信息。Internet 草稿文档正在使用的 Internet 工程任务组 (IETF)、 它的区域和其工作组的文档。

由于 L2TP 的保护通信量与 IPsec 还不是的标准的 (没有对它没有 RFC),必须测试使用 l2tp/ipsec 这些 Windows 操作系统的互操作。

使用下列基本信息时您正在测试与第三方供应商作为指导使用在 Windows 2000 和 Windows Server 2003 的 IPsec 的 L2TP 通信的保护:
  • 使用证书进行计算机身份验证--可以使用预共享的密钥进行测试。
  • IPsec 传输模式用来保护 L2TP 通信。
  • UDP 端口 1701年用于源和目标端口。这是不协商。
Microsoft 将继续使用其他供应商根据客户需求测试 IPsec 仅和 l2tp/ipsec。如果找到问题,Microsoft 知识库文章将被发布。互操作的信息,请访问下面的 Microsoft 网站的最新版本:
http://support.microsoft.com
即使不可能有 Microsoft 有机会与该供应商对其进行验证,它是常见的一些供应商宣称与 Windows 2000 和 Windows Server 2003,互操作。

安全

Microsoft 已采取许多步骤以确保设计的质量和具有包含内部和外部 (专用) 的设计和代码的实现评审。Microsoft 将继续以提供有关正确使用的文档和 $ 客户的指南。与任何安全工具一样非常重要的用户读取联机帮助和资源工具包文档以进行全面了解 IPsec 和及其用法。IETF RFC 标准实现的 IPsec 与 IKE 但它们仍新技术,这意味着它们将都粗审查下,恶意用户攻击行业中。

Microsoft 建议下列操作以维护安全的环境:
  • 安装获取 3DES 加密功能,您希望使用 IPsec 的所有计算机的强加密更新包。您可以下载这从下面的 Microsoft 网站:
    http://windowsupdate.microsoft.com/
    .
  • 确保 IPsec 策略要求只有其中的 IPsec 通信的隐私是必需的 3DES。DES 加密已显示是缺乏强加密的攻击。为受保护的 IPsec 通信需要高吞吐量的计算机具有启用 IPsec 的网络适配器使用 3DES 硬件加速。
  • 启用登录和注销的问题的安全日志审核和监视与 IPsec 相关的事件 541 和 $ 542 这些问题。
  • 监视系统日志中查看从 IPsec 的事件源。
  • 升级到最新的 service pack 释放它) 时,获取最新的修补程序和安全更新,为您的计算机的组件。如果可用,在您的实验室环境) 中进行操作的验证最终发布之前将最新服务包的请应用版本的候选版本。请立即与您有关的问题的产品支持服务代表联系。
  • 设计的一个 IPsec 部署时,请参阅 Microsoft 知识库 (http://support.microsoft.com/search ) 为最新的配置详细信息、 已知的问题和变通办法。
  • 监视器 Microsoft 安全网站 (http://www.microsoft.com/technet/security) 获取安全新闻和修补程序的通知。
  • 如果您认为您已发现一个可重现的安全漏洞,请联系 secure@microsoft.com。请若要加快调查,提供尽可能多的详细信息。

Microsoft 的联系点

有关媒体查询与 $ 在 425-637-9097 Waggener Edstrom。 标识询问 IPsec 和网络安全。他们将能够联系相应的产品管理与可帮助您的技术资源。

对于 IPsec 作为一种技术在 Windows 平台中,请向 ipsecreq@microsoft.com 发送一封电子邮件。

Microsoft 的支持协议的客户有权访问 Windows 2000 支持专家在 Windows 2000 测试版周期的过程中处理与产品团队。已部署或将端到端或 $ 结束到路由器的方案中部署 Windows 2000 或 Windows Server 2003 IPsec 的客户应直接与他们 Microsoft 支持代表联系。有关 Microsoft 支持选项的信息,请访问下面的 Microsoft 网站:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Microsoft 需要改进平台中的功能的客户和供应商的反馈。我们想知道谁在使用它以及如何,以及您的体验是什么。到结尾的是最有用如果客户升级到支持渠道的问题。如果是一个 IPsec 供应商有特定实现或互操作问题,请参阅我们的演练和 Microsoft 知识库文章说明如何打开调试功能。后调查,互操作的测试站点上别名发送电子邮件,解释谁是发生什么等等。

联机帮助 (在 Windows 2000 专业版和服务器) 为 IPsec,包含相同的内容,但它在目录中以不同的方式表示。联机帮助也是可在下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx
Windows 2000 Server 资源工具箱的网络和服务器的管理员来说是 IPsec 的新方向。有关 Windows 2000 资源工具包,请参阅下面的 Microsoft 网站:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx
使用 IPsec 保护通讯端到端,以及有关实现的详细信息的详细的步骤是可在下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?familyid=501a48d5-a3ee-4094-aeb4-16bbff098810
可用 microsoft.public.win2000.networking 在 Windows 2000 网络新闻组。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
257225IPsec Microsoft Windows 2000 Server 中的故障排除
259335在 Windows 2000 中的基本 l2tp/ipsec 疑难解答
248750l2tp/ipsec 为创建的 IPSec 策略的说明
有关基于 Windows 2000 的虚拟专用网络和 $ 支持 VPN 互操作性的信息,请参阅下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/library/bb742565.aspx

属性

文章编号: 265112 - 最后修改: 2007年10月12日 - 修订: 11.6
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbmt kbinfo kbipsec kbnetwork KB265112 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 265112
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com