Jak pomocí protokolu IPSec k zabezpečení přenosu v síti mezi dvěma hostiteli v systému Windows 2000

Překlady článku Překlady článku
ID článku: 301284 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek je vodítko podrobné pokyny k povolení pokročilým uživatelům konfigurovat protokol IPSec (IPSec), takže mohou zabezpečení komunikace mezi dva hostitelského počítače.

Terminologie protokolu IPSec

Zajistit, že víte, že za těchto podmínek rozumí před postupujte podle následujících pokynů:
  • Ověření: Proces a zjistěte, zda identita počítač je legitimní. Protokol IPSec pro systém Windows 2000 podporuje tři typy z ověřování: protokol Kerberos, certifikáty a předsdílené klíče. Kerberos ověřování můžete pracovat pouze v případě, že jsou oba koncové body (počítače) ve stejné Domény systému Windows 2000. Tento typ ověřování je upřednostňovanou metodou. Pokud jsou počítače v různých doménách, nebo alespoň jeden z nich není v domény, je nutné použít certifikáty nebo předsdílené klíče. Certifikáty lze pracovat pouze v případě, že každý koncový bod obsahuje certifikát, který je podepsaný orgán, že druhý koncový bod. Předsdílené klíče mají stejné problémy že nemají hesla: není zůstaly tajné na velmi dlouhou dobu. Pokud Koncové body nejsou ve stejné doméně a nemohou získat certifikáty, předsdílené klíče jsou k dispozici jediná možnost ověřování.
  • Šifrování: Procesu vytváření dat v nezřetelný. Příprava pro přenos mezi dvěma koncovými body. Pomocí vyzkoušené algoritmy, každý koncový bod konstrukce a výměny kryptografické klíče. Na proces zajišťuje, že pouze koncové body znát klíče; a pokud všechny-výměna klíčů posloupnosti jsou zachyceny, zachytávacího získá žádné hodnoty.
  • Filtr: Popis protokolu IP (Internet Protocol) adresy a protokoly, které mohou aktivovat zřízení zabezpečení protokolu IPSec přidružení.
  • Akce filtru: požadavky na zabezpečení, které mohou být povoleny přenosy shoduje s filtry v seznamu filtrů.
  • Seznam filtrů: sada filtrů.
  • Protokol IPSec zásady: kolekce pravidel které popisují, jak jsou zabezpečené komunikace mezi počítači.
  • Pravidlo: Propojení mezi seznam filtrů a akce filtru. Při provozu odpovídá seznamu filtrů, mohou být odpovídající akce filtru aktivuje. Zásady protokolu IPSec může obsahovat více pravidel.
  • Přidružení zabezpečení: shromažďování, ověřování a Koncové body vyjednávat navázat zabezpečené metod šifrování relace.

Vyhledání protokolu IPSec v konzola Microsoft Management Console

Konfiguraci protokolu IPSec pomocí konzoly MMC (konzola Microsoft Management Console). Systém Windows 2000 vytvoří konzoly MMC s modulem snap-in IPSec během instalace proces. Chcete-li vyhledat IPSec, klepněte na tlačítko Spustit, přejděte na příkaz Programy, klepněte na tlačítko Nástroje pro správua klepněte na tlačítko Místní zásady zabezpečení. V konzole MMC, který se otevře klepněte na tlačítko Zásady zabezpečení protokolu IP místní počítač v levém podokně. Poté se zobrazí existující konzoly MMC Výchozí zásady v pravém podokně.

Změnit adresu IP, názvy počítačů a uživatelských jmen

Pro účely tohoto příkladu, Alice je uživatel, který má počítač s názvem "alicepc" s adresou IP 172.16.98.231 a Bob má počítač s názvem "bobslap" s adresou IP 172.31.67.244. Připojení počítačů pomocí programu Abczz.

Alice a Petr musí zajistit, aby provoz je zašifrován při jejich přímo vzájemně připojit pomocí Abczz program. Při připojení k Abczz, iniciátor používá náhodný vysoké port sám na sebe a připojí (pro účely tohoto příkladu) do cílového umístění na port 6667 TCP nebo 6668 TCP (TCP je zkratka pro přenos Control Protocol). Tyto porty jsou obvykle používány pro Internet Relay Chat (IRC). Protože Alice a Petr, můžete inicializaci připojení, musí v zásadě na obou koncích existovat.

Vytvořte seznam filtrů

Nabídky pro vytváření zásad protokolu IPSec jsou přístupné Pokud jste Klepněte pravým tlačítkem myši Zásady zabezpečení protokolu IP v konzole MMC. První nabídka je "vytvořit zásadu zabezpečení protokolu IP." Přestože se mohou zdát v tomto umístění začít být místo, není správné umístění. Před vytvořením zásady a její přidružená pravidla, je třeba definovat seznamy filtrů a filtrování akce, které jsou potřebné součásti všechny zásady IPSec. Zahájit práci podle Klepnutím na tlačítko Spravovat seznamy filtrů IP a akcí filtrů.

Dialogové okno se zobrazí má dvě záložky: jeden pro seznamy filtrů a dalších akcí filtru. Nejprve Správa seznamů filtrů IPOtevře kartu. Již existují dvě předdefinované seznamy filtrů, které nepoužíváte. Místo toho můžete vytvořit seznam specifických filtrů, který odpovídá druhé počítač, který chcete připojit.

Předpokládejme, že jste vytvořili zásady počítače, který patří do Alice:
  1. Klepněte na tlačítko Přidat vytvořit nový seznam filtrů. Název seznamu "Abczz Petrův PC".
  2. Klepněte na tlačítko Přidat Přidat nový filtr. Spustí se průvodce.
  3. Klepněte na tlačítko Adresa IP jako zdroj.
  4. Klepněte na určitou adresu IP jako cíl a pak Zadejte adresu IP počítače, který patří k Petr (172.31.67.244). Alternativně Pokud v počítači, který patří do Petr registrována v doméně Název služby DNS nebo Windows Internet Name Service (WINS), můžete vybrat zvláštní DNS zadejte název a potom zadejte název počítače, který patří do Petr což je "bobslap".
  5. Abczz používá protokol TCP pro sdělení, proto klepněte na tlačítko TCP jako typ protokolu.
  6. Porty protokolu IP klepněte na tlačítko Z jakéhokoli portu. Klepněte na tlačítko Na tento port, zadejte: 6667a klepněte na tlačítko Dokončit Dokončete průvodce.
  7. Opakujte kroky, s výjimkou tohoto typu času:6668 jako číslo portu a potom klepněte na tlačítko Zavřít.
Seznam filtru obsahuje dva filtry: jeden pro komunikaci Alice Petrovi do port 6667 (která patří Petr) a jeden port 6668 (která patří do Petr). (Bob má i port 6667 a nastavit jeho 6668 počítač: je jeden port pro odchozí komunikaci a druhé pro příchozí sdělení.) Tyto filtry jsou zrcadlené, což je obvykle nezbytné kdykoli vytvoříte filtru protokolu IPSec. Pro každý filtr, který je zrcadlení, seznam mohou obsahovat (ale nemusí zobrazit) přesná opačné filtru kde zdroj a cílové adresy stornují. Bez zrcadlené filtry protokolu IPSec komunikace je obvykle neúspěšný.

Vytvořit akci filtru

Druh dopravy, které musí být zabezpečeny, které jste definovali. Nyní musíte určit mechanismus zabezpečení. Klepněte Správa akcí filtru na kartě. Existují tři výchozí hodnoty, které jsou uvedeny. Místo použití na Vyžadovat zabezpečení akce, je nutné vytvořit novou akci, která jsou přísnější.

Vytvoření nové akce:
  1. Klepněte na tlačítko Přidat k vytvoření nové akce filtru. Spustí se průvodce. Název akce "Šifrovat Abczz".
  2. Pro Obecné možnosti, klepněte na tlačítko Vyjednat zabezpečení a potom klepněte na tlačítko Komunikovat s počítače, které nepodporují protokol IPSec.
  3. Klepněte Vysoké zabezpečení přenosu IPmožnost a potom klepněte na tlačítko Dokončit zavřete průvodce.
  4. Poklepejte na novou akci filtru (kterou dříve název "Abczz šifrování").
  5. Zrušte zaškrtnutí políčka Přijímat nezabezpečenou komunikaci, ale vždy odpovídat pomocí protokolu IPSec Zaškrtávací políčko. Tento krok zajistí, že počítače musí vyjednávání protokolu IPSec, před odesláním paketu Abczz.
  6. Klepněte na tlačítko Metoda perfect forward secrecy pro klíč relaceChcete-li zajistit, že nebudou znovu použita materiálu klíče, OKa klepněte na tlačítko Zavřít.

Vytvoření zásady protokolu IPSec

Prvky zásad jste obdrželi. Nyní můžete vytvořit zásady, sám. Klepněte pravým tlačítkem myši v pravém podokně konzoly MMC a klepněte na tlačítko Vytvořit zásadu zabezpečení protokolu IP. Při spuštění průvodce:
  1. Název zásady "Alice ipsec".
  2. Zrušte zaškrtnutí políčka Aktivovat výchozí odpověď pravidlo Zaškrtávací políčko.
  3. Klepněte na tlačítko Upravit vlastnosti Pokud není vybrána a potom dokončete průvodce. Na Vlastnosti Otevře se dialogové okno zásady.
Zásady protokolu IPSec pro práci musí obsahovat alespoň jedno pravidlo že propojí seznam filtrů Akce filtru.

Určit pravidla Vlastnosti Dialogové okno:
  1. Klepněte na tlačítko Přidat Chcete-li vytvořit nové pravidlo. Po spuštění průvodce, klepněte na tlačítko To pravidlo neurčuje tunelové propojení.
  2. Klepněte na tlačítko Místní síť (LAN) pro Typ sítě.
  3. Klepněte na tlačítko Výchozí systém Windows 2000 (Kerberos V5 protokol) pro metodu ověřování, pokud jsou oba počítače Alice a Petr jsou ve stejné doméně systému Windows 2000. V opačném případě klepněte na tlačítko Pomocí této řetězec k zabezpečení výměny klíčů (předsdílený klíč) a potom zadejte řetězec (použijte dlouhý řetězec, který můžete zapamatovat a zadat bez provedení chyby).
  4. Vyberte seznam filtrů, který jste vytvořili dříve. V tomto například seznam filtrů je "Abczz na Petrův PC". Vyberte akci filtru že jste vytvořili dříve. V tomto příkladu je akce filtru šifrovat" Abczz".
  5. Dokončení průvodce a klepněte na tlačítko Zavřít.

Konfigurovat další koncové body

V počítači, který patří k opakování Bobovi všechny předchozí postupy použité k počítači, který patří do Alice. Na nezbytné změny jsou zřejmé, například nutné změnit "Abczz na Petrův PC" na "abczz Alice PC".

Přiřadit zásady

Na obou koncích definována zásady. Nyní je třeba přiřadit je:
  1. V Místní nastavení zabezpečení konzoly MMC, Klepněte pravým tlačítkem myši (zásadyAbczz v tomto příkladu).
  2. Klepněte na tlačítko Přiřadit.
Pouze jedna zásada IPSec mohou být přiřazeny najednou, ale jeden zásady může mít tolik pravidel, podle potřeby. Například Alice také potřebuje. zabezpečenou komunikaci s Eve pomocí jiný protokol, je nutné vytvořit seznamy vhodných filtrů a akce a přidejte pravidlo, které IPSec (která patří Alice), která propojuje tento seznam specifických filtrů a akce filtru. Klepněte na tlačítko Použít pro tento jiný sdílený klíč pravidlo. Zásady pro Alice má nyní dvě pravidla: jeden pro Abczz komunikace s Bob a jiný pro komunikaci s Eve. Protože Petr a Eve není potřeba komunikovat zabezpečeně navzájem zásady pro Petr nemá nic do ní přidat, a obsahuje zásady pro Eve jediné pravidlo pro komunikaci s Alice.

Poradce při potížích

Použijte příkaz IPSecMon testování zásad

Systém Windows 2000 obsahuje nástroj (IPSecMon.exe), který můžete použít Prověřte, zda přidružení zabezpečení protokolu IPSec úspěšně navázáno. K Spusťte příkaz IPSecMon:
  1. Klepněte na tlačítko Spustita klepněte na tlačítko Spustit.
  2. Typ: příkaz ipsecmona pak stiskněte klávesu. ZADEJTE.
  3. Klepněte na tlačítko Možnosti.
  4. Změna intervalu pro 1.
Je třeba vytvořit komunikační z jednoho koncového bodu do ostatní. Zde může být zpoždění, protože trvá několik sekund na koncové body výměnu informací o šifrování a dokončete přidružení zabezpečení. Jste Toto chování v IPSecMon můžete pozorovat. Při vytváření koncové body každé jejich přidružení zabezpečení, můžete si všimnout položky příkaz IPSecMon, který zobrazuje tuto chování.

Pokud očekáváte, že přidružení zabezpečení, který má být vytvořena, ale nic se nestane, přejděte zpět a kontrola seznamů filtrů na každý koncový bod. Zajištění že jste obdrželi správné definice pro protokoly, které používáte snadno zaměnit zdrojové a cílové adresy nebo obrátit porty. Je vhodné zvážit vytvoření nového filtru seznamu Určuje všechny přenosy. Můžete také přidat nové pravidlo zásady, která používá Tento seznam filtrů a potom zakažte existující pravidlo. O provedení těchto kroků oba koncové body. Pak můžete použít ping testování připojení pomocí příkazu: ping Zobrazit příkaz "Negociační zabezpečení protokolu IP" během zabezpečení přidružení fáze a potom zobrazte jeho normální výsledky při zabezpečení Vytvoření spojení.

NAT a protokolu IPSec nejsou kompatibilní

Pokud je mezi nimi žádné překládání adres (NAT) Koncové body, protokol IPSec nebude fungovat. Protokol IPSec vloží jako součást adresy koncového bodu datové části. Protokol IPSec používá také zdrojové adresy při vrací paket součty Před uložením paketů na lince. NAT můžete změnit zdrojovou adresu odchozí pakety a cíl používá adresu v záhlaví při jeho vypočítá vlastní součty. Původní zdroj vypočítané součty, v pakety, neodpovídají kontrolní součet vypočítané cíl a Cíl můžete zrušit pakety. IPSec nelze použít u jakéhokoli typu NAT zařízení.

Vlastnosti

ID článku: 301284 - Poslední aktualizace: 12. května 2011 - Revize: 6.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbhowtomaster kbmt KB301284 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:301284

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com