PROCEDURE: Internet Protocol Security gebruiken voor de beveiliging van het netwerkverkeer tussen twee hosts

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 301284 - Bekijk de producten waarop dit artikel van toepassing is.
Dit artikel is eerder gepubliceerd onder NL301284
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Dit artikel bevat een stapsgewijze handleiding waarmee gevorderde gebruikers IPSec (Internet Protocol Security) zodanig kunnen configureren dat de communicatie tussen twee hostcomputers kan worden beveiligd.

IPSec-terminologie

Voordat u de onderstaande instructies uitvoert moet u weten wat de volgende termen betekenen:
  • Verificatie: het proces waarmee wordt bepaald of de identiteit van een computer legitiem is. IPSec van Windows 2000 ondersteunt drie soorten verificatie: Kerberos, certificaten en vooraf gedeelde sleutels. Kerberos-verificatie kan alleen worden gebruikt als beide eindpunten (computers) zich in hetzelfde Windows 2000-domein bevinden. Dit is de voorkeurmethode voor verificatie. Als de computers zich in verschillende domeinen bevinden of als ten minste één ervan niet in een domein staat, moet u certificaten of vooraf gedeelde sleutels gebruiken. U kunt certificaten alleen gebruiken als elk eindpunt een certificaat bevat dat ondertekend is door een instantie die wordt vertrouwd door het andere eindpunt. Vooraf gedeelde sleutels hebben hetzelfde probleem als wachtwoorden: ze blijven meestal niet lang geheim. Als de eindpunten zich niet in hetzelfde domein bevinden en u geen certificaten kunt verkrijgen, kunt u alleen verificatie door middel van vooraf gedeelde sleutels gebruiken.
  • Codering: het proces waarbij gegevens onherkenbaar worden versleuteld voordat ze worden verzonden tussen twee eindpunten. Door middel van algoritmen die grondig getest zijn, worden op elk eindpunt kryptografische sleutels samengesteld, die worden uitgewisseld. Bij dit proces is het zeker dat de sleutels alleen bij de eindpunten bekend zijn. Als in een fase van de sleuteluitwisseling sleutelgegevens worden onderschept, krijgt degene die deze gegevens onderschept, niets van waarde in handen.
  • Filter: een beschrijving van de IP-adressen (Internet Protocol) en -protocollen die de vorming van een IPSec-beveiligingskoppeling kunnen triggeren.
  • Filteractie: de beveiligingsvereisten die kunnen worden ingeschakeld als het verkeer overeenkomt met de filters in een filterlijst.
  • Filterlijst: een collectie filters.
  • Internet Protocol Security-beleid: de collectie regels die beschrijft hoe de communicatie tussen computers wordt beveiligd.
  • Regel: de koppeling tussen een filterlijst en een filteractie. Als het verkeer overeenkomt met een filterlijst, kan de corresponderende filteractie worden geactiveerd. Een IPSec-beleid kan meerdere regels bevatten.
  • Beveiligingskoppeling: de collectie verificatie- en coderingsmethoden waarover door de eindpunten wordt onderhandeld om een beveiligde sessie tot stand te brengen.

IPSec is een onderdeel van Microsoft Management Console

U configureert IPSec via Microsoft Management Console (MMC). Windows 2000 maakt tijdens het installatieproces een MMC met de IPSec-module. Om IPSec te vinden klikt u op Start, wijst u achtereenvolgens Programma's en Systeembeheer aan en klikt u op Lokaal beveiligingsbeleid. In de MMC die wordt geopend klikt u op IP-beveiligingsbeleid op lokale computer in het linkerdeelvenster. Het bestaande standaardbeleid wordt dan weergegeven in het rechterdeelvenster.

Het IP-adres, de computernamen en de gebruikersnamen wijzigen

In dit voorbeeld is Alice een gebruiker met een computer met de naam "Alicepc" en het IP-adres 172.16.98.231. Bob heeft een computer met de naam "Bobslap" en het IP-adres 172.31.67.244. Ze verbinden hun computers via het programma Abczz.

Alice en Bob moeten ervoor zorgen dat het verkeer gecodeerd is als ze een directe verbinding tot stand brengen met behulp van het programma Abczz. Als Abczz de verbinding tot stand brengt, gebruikt de initiator een willekeurige hoge poort voor zichzelf en brengt (in dit voorbeeld) een verbinding tot stand met de bestemming op poort 6667/TCP of 6668/TCP (TCP is de afkorting voor Transmission Control Protocol). Deze poorten worden gewoonlijk gebruikt voor Internet Relay Chat (IRC). Omdat zowel Alice als Bob een verbinding tot stand kunnen brengen, moet dit beleid aanwezig zijn aan beide kanten.

De filterlijst maken

U kunt de menu's waarmee u IPSec-beleid kunt maken, weergeven door met de rechtermuisknop te klikken op IP-beveiligingsbeleid in de MMC-console. Het eerste menu-item is "IP-beveiligingsbeleid maken". Dit lijkt de juiste plaats om te beginnen, maar dat klopt niet. Voordat u een beleid en de bijbehorende regels kunt maken, moet u filterlijsten en filteracties definiëren. Dit zijn noodzakelijke onderdelen van een IPSec-beleid. U begint door te klikken op IP-filterlijsten en filteracties beheren.

Het dialoogvenster dat wordt weergegeven heeft twee tabbladen: een voor de filterlijsten en een voor de filteracties. Eerst wordt het tabblad IP-filterlijsten beheren geopend. Dit bevat twee vooraf gedefinieerde filterlijsten, die u niet wilt gebruiken. In plaats daarvan kunt u een specifieke filterlijst maken die geschikt is voor de andere computer waarmee u verbinding wilt maken.

We gaan ervan uit dat u het beleid maakt op de computer van Alice:
  1. Klik op Toevoegen om een nieuwe filterlijst te maken. Noem deze "Abczz naar Bob's pc".
  2. Klik op Toevoegen om een nieuw filter toe te voegen. Er wordt een wizard gestart.
  3. Klik op Mijn IP-adres als de bron.
  4. Klik op een specifiek IP-adres als de bestemming en voer dan het IP-adres (172.31.67.244) in van Bob's computer. Als de computer van Bob geregistreerd is in DNS (Domain Name System) of WINS (Windows Internet Name Service), kunt u ook een specifieke DNS-naam selecteren en dan de naam van Bob's computer opgeven. Dit is "Bobslap".
  5. Abczz gebruikt TCP voor de communicatie. Klik dus op TCP als type protocol.
  6. Klik voor de IP-protocolpoort op Van willekeurige poort. Klik op Naar deze poort, typ: 6667 en klik op Voltooien om de wizard te sluiten.
  7. Herhaal deze stappen, maar typ nu: 6668 als poortnummer. Klik vervolgens op Sluiten.
De filterlijst bevat twee filters: een voor de communicatie van Alice naar Bob op poort 6667 (die van Bob is) en een op poort 6668 (die van Bob is). (Bob heeft de poorten 6667 en 6668 op zijn computer ingesteld. Eén poort is voor de uitgaande communicatie en de andere voor de binnenkomende communicatie.) Deze filters zijn gespiegeld. Dit is in het algemeen noodzakelijk als u een IPSec-filter maakt. Voor elk filter dat gespiegeld is kan de lijst een filter bevatten (maar niet weergeven) dat precies het tegengestelde is en waarbij de bron- en bestemmingsadressen omgewisseld zijn. Zonder gespiegelde filters lukt IPSec-communicatie meestal niet.

De filteractie maken

U hebt het type verkeer gedefinieerd dat moet worden beveiligd. Nu moet u het beveiligingsmechanisme opgeven. Klik op het tabblad Filteracties beheren. Er worden drie standaardwaarden weergegeven. U wilt niet de actie Beveiliging vereisen gebruiken, maar u maakt een nieuwe, striktere actie.

De nieuwe actie maken:
  1. Klik op Toevoegen om een nieuwe filteractie te maken. Er wordt een wizard gestart. Noem de actie "Codering Abczz".
  2. Klik voor de optie Algemeen op Onderhandelen over beveiliging en klik vervolgens op Niet communiceren met computers die IPSec niet ondersteunen.
  3. Klik op de optie Hoog voor de beveiliging van IP-gegevensverkeer en klik vervolgens op Voltooien om de wizard te sluiten.
  4. Dubbelklik op de nieuwe filteractie (die u "Codering Abczz" hebt genoemd).
  5. Schakel het selectievakje Niet-beveiligde communicatie accepteren, maar altijd reageren met IPSec uit. U weet dan zeker dat de computers moeten onderhandelen over IPSec voordat een Abczz-pakket wordt verzonden.
  6. Klik op Sessiesleutel Perfect Forward Secrecy om er zeker van te zijn dat oud sleutelmateriaal niet opnieuw gebruikt wordt, klik op OK en klik vervolgens op Sluiten.

Het IPSec-beleid maken

U hebt nu alle elementen voor het beleid. Vervolgens kunt u het beleid zelf maken. Klik met de rechtermuisknop op het rechterdeelvenster van de MMC en klik vervolgens op IP-beveiligingsbeleid maken. Als de wizard wordt gestart, doet u het volgende:
  1. Geef het beleid de naam "Alice's IPSec".
  2. Schakel het selectievakje Standaardreactieregel inschakelen: uit.
  3. Klik op Eigenschappen bewerken als dit nog niet geselecteerd is, en voltooi de wizard. Het dialoogvenster Eigenschappen van het beleid wordt geopend.
Een IPSec-beleid kan alleen functioneren als het beleid ten minste één regel bevat die een filterlijst koppelt aan een filteractie.

Regels specificeren in het dialoogvenster Eigenschappen:
  1. Klik op Toevoegen om een nieuwe regel te maken. Als de wizard wordt gestart, klikt u op Deze regel bepaalt geen tunnel.
  2. Klik op Local area network (LAN) voor het netwerktype.
  3. Klik op Windows 2000-standaard (Kerberos V5-protocol) voor de verificatiemethode als de computers van Alice en Bob zich in hetzelfde Windows 2000-domein bevinden. Zo niet, klik dan op Deze tekenreeks gebruiken om de sleuteluitwisseling te beschermen (vooraf gedeelde sleutel) en voer dan een tekenreeks in. Gebruik een lange tekenreeks die u kunt onthouden en maak geen typefouten.
  4. Selecteer de filterlijst die u eerder hebt gemaakt. In dit voorbeeld is de filterlijst "Abczz naar Bob's pc". Selecteer vervolgens de filteractie die u eerder hebt gemaakt. In dit voorbeeld is de filteractie "Codering Abczz".
  5. Voltooi de wizard en klik vervolgens op Sluiten.

De andere eindpunten configureren

Herhaal op de computer van Bob alle procedures die zijn uitgevoerd op de computer van Alice. De vanzelfsprekende wijzigingen moeten overal worden aangebracht. Zo wijzigt u "Abczz naar Bob's pc" in "Abczz naar Alice's pc".

Beleid toewijzen

U hebt aan beide einden het beleid gedefinieerd. Nu moet u het beleid toewijzen:
  1. Klik in het vak Lokale beveiligingsinstellingen MMC met de rechtermuisknop op het beleid (Abczz in dit voorbeeld).
  2. Klik op Toewijzen.
U kunt maar één IPSec-beleid tegelijk toewijzen, maar een beleid kan net zoveel regels bevatten als u wenst. Als Alice bijvoorbeeld ook beveiligde communicatie met Eva nodig heeft met gebruikmaking van een ander protocol, moet u de desbetreffende filterlijsten en acties maken. U voegt dan een regel toe aan het IPSec-beleid (van Alice) waardoor die filterlijst aan die filteractie wordt gekoppeld. Klik op Gebruik voor deze regel een andere gedeelde sleutel. Het beleid voor Alice heeft nu twee regels: een voor de Abczz-communicatie met Bob en een voor de communicatie met Eva. Omdat Bob en Eva onderling geen veilige communicatie nodig hebben, hoeft er aan het beleid voor Bob niets te worden toegevoegd. Het beleid voor Eva bevat één regel voor communicatie met Alice.

Eventuele problemen

Gebruik van IPSecMon om het beleid te testen

Windows 2000 is voorzien van een hulpmiddel (IPSecMon.exe) dat u kunt gebruiken om na te gaan of een IPSec-beveiligingskoppeling tot stand is gebracht. IPSecMon starten:
  1. Klik op Start en vervolgens op Uitvoeren.
  2. Typ: ipsecmon en druk op ENTER.
  3. Klik op Opties.
  4. Wijzig het vernieuwingsinterval in 1.
U moet communicatie tussen het ene eindpunt en het andere tot stand brengen. Er kan een vertraging optreden omdat het een paar seconden duurt voordat de eindpunten de kryptografische informatie hebben uitgewisseld en de beveiligingskoppeling tot stand is gebracht. U kunt dit gedrag observeren in IPSecMon. Als de eindpunten hun beveiligingskoppeling tot stand brengen, ziet u een vermelding in IPSecMon die dit aangeeft.

Als u verwacht dat er een beveiligingskoppeling tot stand zal worden gebracht terwijl er echter niets gebeurt, gaat u terug en controleert u de filterlijsten op elk eindpunt. Controleer of u de juiste definities hebt ontvangen voor de protocollen die u gebruikt, omdat het heel goed kan gebeuren dat de doel- en bestemmingsadressen of de poorten worden verwisseld. U kunt overwegen een nieuw filter te maken waarin al het netwerkverkeer wordt gespecificeerd. U kunt dan ook een nieuwe regel aan het beleid toevoegen die deze filterlijst gebruikt, en dan de bestaande regel uitschakelen. Voer deze stappen uit op beide eindpunten. U kunt dan de opdracht ping gebruiken om de verbindingen te testen: als u de opdracht ping opgeeft, kan terwijl de beveiligingskoppeling tot stand wordt gebracht, het bericht "Bezig met het onderhandelen over IP-beveiliging" worden weergegeven. Als de beveiligingskoppeling tot stand is gebracht, worden de normale resultaten weergegeven.

NAT en IPSec zijn incompatibel

Als er Network Address Translation (NAT) plaatsvindt tussen de twee eindpunten, functioneert IPSec niet. IPSec sluit adressen van eindpunten in als onderdeel van de nettolading. IPSec gebruikt ook bronadressen bij het berekenen van controlesommen van pakketten voordat deze pakketten worden afgegeven. NAT kan de bronadressen van uitgaande pakketten wijzigen. Bij de bestemming wordt het adres in de header gebruikt om zelf controlesommen te berekenen. De originele bij de bron berekende controlesommen, die in de pakketten worden verzonden, komen niet meer overeen met de controlesommen die bij de bestemming worden berekend, zodat de pakketten bij de bestemming kunnen worden weggegooid. U kunt IPSec bij geen enkel type NAT-apparaat gebruiken.

REFERENTIES

Witboeken en gedetailleerde technische informatie over IPSec bij Windows 2000 vindt u op de volgende website van Microsoft:
http://www.microsoft.com/windows2000/technologies/security/default.asp

Eigenschappen

Artikel ID: 301284 - Laatste beoordeling: maandag 29 maart 2004 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Trefwoorden: 
kbhowtomaster KB301284

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com