JAK: Używanie protokołu IPSec (Internet Protocol Security) do zabezpieczenia ruchu w sieci pomiędzy dwoma hostami Windows 2000

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 301284 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL301284
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano krok po kroku instrukcje, które umożliwiają zaawansowanym użytkownikom skonfigurowanie protokołu IPSec (Internet Protocol Security) w celu zabezpieczenia komunikacji pomiędzy dwoma hostami.

Terminologia IPSec

Przed przystąpieniem do wykonywania instrukcji zawartych w tym artykule należy zapoznać się z poniższym terminami:
  • Uwierzytelnianie: Proces mający na celu określenie, czy tożsamość komputera jest legalna. Protokół Windows 2000 IPSec obsługuje trzy rodzaje uwierzytelniania: Kerberos, certyfikaty oraz klucze wstępne. Uwierzytelnianie Kerberos działa jedynie wtedy, gdy oba komputery znajdują się w tej samej domenie Windows 2000. Jest to preferowana metoda uwierzytelniania. Jeżeli komputery znajdują się w różnych domenach lub co najmniej jeden z nich nie jest w domenie, należy użyć certyfikatów lub kluczy wstępnych. Certyfikaty działają jedynie wtedy, gdy każdy punkt końcowy zawiera certyfikat podpisany przez wystawcę, któremu ufa drugi punkt końcowy. Kluczy wstępnych dotyczy ten sam problem, który występuje przy hasłach: nie są one tajne przez długi okres czasu. Jeżeli punkty końcowe nie znajdują się w tej samej domenie, a użytkownicy nie są w stanie otrzymać certyfikatu, klucze wstępne są jedynym rozwiązaniem dla uwierzytelniania.
  • Szyfrowanie: Proces mający na celu przekształcenie danych w nieczytelną postać przed ich transmisją pomiędzy dwoma punktami końcowymi. Za pomocą dobrze przetestowanych algorytmów każdy punkt końcowy tworzy i wymienia klucze szyfrujące. Proces ten zapewnia, że klucze te są znane tylko przez punkty końcowe i jeżeli podczas wymiany zostaną przechwycone, strona przechwytująca nie otrzyma żadnych pożytecznych informacji.
  • Filtr: Opis adresów protokołu IP (Internet Protocol), które mogą wyzwolić ustanowienie skojarzenia zabezpieczenia IPSec.
  • Akcja filtru: Wymagania zabezpieczenia, które mogą zostać włączone, kiedy ruch jest zgodny z filtrami na liście filtrów.
  • Lista filtrów: Kolekcja filtrów.
  • Zasada zabezpieczeń protokołu IP: Kolekcja zasad, które opisują sposób, w jaki zabezpieczana jest komunikacja pomiędzy komputerami.
  • Reguła: Połączenie pomiędzy listą filtrów a akcją filtru. Jeżeli ruch jest zgodny z listą filtrów, zostanie wyzwolona odpowiadająca jej akcja filtru. Zasada protokołu IPSec może zawierać wiele reguł.
  • Skojarzenia zabezpieczeń: Kolekcja metod uwierzytelniania i szyfrowania, które są negocjowane przez punkty końcowe w celu ustanowienia bezpiecznej sesji.

Znajdowanie protokołu IPSec w programie Microsoft Management Console

Protokół IPSec jest konfigurowany za pomocą narzędzia Microsoft Management Console (MMC). System Windows 2000 tworzy konsolę MMC z przystawką IPSec podczas procesu instalacji. W celu zlokalizowania protokołu IPSec kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne i kliknij polecenie Zasady zabezpieczeń lokalnych. W otwartym oknie MMC w lewym panelu kliknij pozycję Zasady zabezpieczeń IP w komputerze lokalnym. W prawym oknie MMC zostaną wyświetlone istniejące domyślne zasady.

Zmiana adresu IP, nazw komputerów oraz użytkowników

W tym przykładzie Alicja jest użytkownikiem, który używa komputera o nazwie „Alicjapc” i adresie IP równym 172.16.98.231. Jednocześnie Bogdan używa komputera o nazwie „Bogdanlap” i adresie IP równym 172.31.67.244. Łączą oni swoje komputery za pomocą programu Abczz.

Alicja i Bogdan muszą być pewni, że ich ruch jest zaszyfrowany podczas bezpośredniego łączenia się ze sobą za pomocą programu Abczz. Kiedy program Abczz nawiązuje połączenie, inicjator połączenia używa przypadkowego portu z górnego zakresu i łączy się (w tym przykładzie) poprzez port 6667/TCP lub 6668/TCP komputera docelowego (skrót TCP oznacza Transmission Control Protocol). Zazwyczaj porty te są używane przez program Internet Relay Chat (IRC). Ponieważ zarówno Bogdan jak i Alicja mogą nawiązywać połączenia, zasada musi istnieć po obu stronach.

Tworzenie listy filtrów

Elementy menu do tworzenia zasad protokołu IPSpec są dostępne po kliknięciu prawym przyciskiem myszy pozycji Zasady zabezpieczeń IP w komputerze lokalnym w oknie konsoli MMC. Pierwszy element menu nosi nazwę „Utwórz zasadę zabezpieczeń IP”. Chociaż może się wydawać, że to w tym miejscu należy rozpocząć tworzenie zasady, tak nie jest. Przed utworzeniem zasady i skojarzonych z nią reguł, należy zdefiniować listę filtrów oraz akcje filtrów, które są niezbędne dla każdej zasady IPSec. Zadanie to należy rozpocząć, klikając polecenie Zarządzaj listami filtrów IP i akcjami filtrów.

Wyświetlone okno dialogowe zawiera dwie karty: jedna dla list filtrów, a druga dla akcji filtrów. Jako pierwsza zostanie otwarta karta Zarządzanie listami filtrów IP. Znajdują się tam już dwa wstępnie zdefiniowane filtry, których nie należy używać. Zamiast tego należy utworzyć listę filtrów odpowiadającą komputerowi, z którym ma być nawiązane połączenie.

Załóżmy, że tworzysz zasadę na komputerze należącym do Alicji:
  1. Kliknij przycisk Dodaj, aby utworzyć nową listę filtrów. Nadaj liście nazwę „Abczz do PC Bogdana”.
  2. Kliknij przycisk Dodaj, aby utworzyć nowy filtr. Zostanie uruchomiony kreator.
  3. Kliknij opcję Mój adres IP jako adres źródłowy.
  4. Kliknij opcję Określony adres IP jako adres docelowy, a następnie wpisz adres IP (172.31.67.244) komputera należącego do Bogdana. Ewentualnie, jeżeli komputer należący do Bogdana jest zarejestrowany w systemie DNS (Domain Name System) lub w usłudze WINS (Windows Internet Name Service), jako adres docelowy wybierz opcję Określona nazwa DNS i wpisz nazwę DNS komputera Bogdana, czyli „Bogdanlap”.
  5. Program Abczz do komunikacji używa protokołu TCP, więc kliknij opcję TCP jako typ protokołu.
  6. W oknie Port protokołu IP kliknij opcję Z dowolnego portu. Kliknij Do tego portu i wpisz: 6667 oraz kliknij przycisk Zakończ w celu zamknięcia kreatora.
  7. Powtórz poprzednie kroki, tylko tym razem jako numer portu wpisz: 6668 i kliknij przycisk Zamknij.
Lista filtrów zawiera dwa filtry: jeden dla komunikacji od Alicji do Bogdana na porcie 6667 (który należy do Bogdana) oraz jeden na porcie 6668 (który należy do Bogdana). (Bogdan ma ustawione obydwa porty 6667 i 6668 na swoim komputerze: jeden port dla komunikacji wychodzącej, a drugi dla komunikacji przychodzącej). Filtry te są dublowane, co jest zawsze regułą podczas tworzenia filtrów IPSec. Dla każdego dublowanego filtru, lista może zawierać (bez wyświetlania) dokładnie przeciwny filtr, w którym adresy źródłowe i docelowe są zamienione. Bez zdublowanych filtrów komunikacja IPSec jest zazwyczaj niemożliwa.

Tworzenie akcji filtru

Został zdefiniowany taki rodzaj ruchu, który musi być zabezpieczony. Teraz należy określić mechanizmy zabezpieczenia. Kliknij kartę Zarządzanie akcjami filtru. Na liście znajdują się trzy domyślne akcje. Zamiast używać akcji Wymagaj zabezpieczeń, należy utworzyć nową akcję, która jest bardziej restryktywna.

Aby utworzyć nową akcję:
  1. Kliknij przycisk Dodaj, aby utworzyć nową akcję filtru. Zostanie uruchomiony kreator. Wpisz nazwę akcji "Szyfrowanie Abczz".
  2. W oknie Ogólne opcje kliknij Negocjuj protokół zabezpieczeń, a następnie kliknij opcję Nie komunikuj się z komputerami nie obsługującymi protokołu IPSec.
  3. Kliknij opcję Wysoka w obszarze Zabezpieczenia ruchu IP, a następnie kliknij przycisk Zakończ w celu zamknięcia kreatora.
  4. Kliknij dwukrotnie nową akcję filtru (nazwaną wcześniej "Szyfrowanie Abczz").
  5. Wyczyść pole wyboru Akceptuj komunikację nie zabezpieczoną, ale zawsze odpowiadaj używając protokołu IPSec. Krok ten sprawi, że komputery będą musiały negocjować IPSec przed wysłaniem pakietu Abczz.
  6. Zaznacz pole wyboru Doskonałe utajnienie przekazywania klucza sesji w celu upewnienia się, że klucz nie będzie używany ponownie, kliknij przycisk OK, a następnie kliknij przycisk Zamknij.

Tworzenie zasady IPSec

Zostały utworzone elementy zasady. Teraz można przystąpić do samej zasady. Kliknij prawym przyciskiem myszy w prawym oknie konsoli MMC, a następnie w menu podręcznym wybierz polecenie Utwórz zasadę zabezpieczeń IP. Po uruchomieniu kreatora:
  1. Nadaj nazwę zasadzie „IPSec Alicji”.
  2. Wyczyść pole wyboru Włącz regułę odpowiedzi domyślnej.
  3. Zaznacz pole wyboru Edytuj właściwości, jeżeli nie jest zaznaczone i zakończ kreatora. Zostanie wyświetlone okno dialogowe Właściwości zasady.
Aby zasada IPSec działała poprawnie, musi ona zawierać przynajmniej jedną regułę, która łączy listę filtrów z akcją filtru.

Aby określić regułę w oknie dialogowym Właściwości:
  1. Kliknij przycisk Dodaj w celu dodania nowej reguły. Po uruchomieniu kreatora kliknij opcję Ta reguła nie określa żadnego tunelu.
  2. Wybierz Sieć lokalna (LAN) jako typ sieci.
  3. Jako metodę uwierzytelniania wybierz Domyślny protokół Windows 2000 (Kerberos V5), jeżeli komputery Alicji i Bogdana znajdują się w tej samej domenie Windows 2000. Jeżeli nie, wybierz Użyj tego ciągu do ochrony wymiany klucza (klucz wstępny), a następnie wpisz ciąg znaków (tak długi jak tylko jesteś w stanie zapamiętać i bezbłędnie wpisać ponownie).
  4. Zaznacz utworzoną wcześniej listę filtrów. W tym przykładzie, pierwszą listą jest „Abczz do PC Bogdana”. Następnie wybierz wcześniej utworzoną akcję filtru. W tym przykładzie, akcja ta ma nazwę „Szyfrowanie Abczz”.
  5. Zakończ kreatora i kliknij przycisk Zamknij.

Konfigurowanie innych punktów końcowych

Powtórz na komputerze Bogdana wszystkie powyższe procedury wykonane na komputerze Alicji. Należy oczywiście zmienić niektóre opcje, na przykład „Abczz do PC Bogdana” należy zmienić na „Abczz do PC Alicji”.

Przypisywanie zasad

Zostały zdefiniowane zasady po obu stronach. Teraz należy je przypisać:
  1. W oknie Ustawianie zabezpieczeń lokalnych MMC kliknij zasadę prawym przyciskiem myszy (w tym przykładzie Abczz).
  2. Kliknij polecenie Przypisz.
W tym samym czasie może być przypisana tylko jedna zasada, ale jedna zasada może mieć dowolną ilość reguł. Na przykład, jeżeli Alicji potrzebna jest także bezpieczna komunikacja z Ewą za pomocą innego protokołu, należy utworzyć odpowiednią listę filtrów i akcji, a następnie dodać regułę do protokołu IPSec (należącego do Alicji), który łączy określoną listę filtrów z akcją filtru. Kliknij Użyj innego klucza współużytkowanego dla tej reguły. Zasada Alicji ma w tej chwili dwie reguły: jedną dla komunikacji programu Abczz z Bogdanem, a drugą dla komunikacji z Ewą. Ponieważ Bogdan i Ewa nie mają potrzeby bezpiecznie się ze sobą komunikować, nie trzeba nic dodawać do zasady Bogdana, a zasada Ewy zawiera jedną regułę dla komunikacji z Alicją.

Rozwiązywanie problemów

Używanie IPSecMon do testowania zasady

Windows 2000 zawiera narzędzie (IPSecMon.exe), za pomocą którego można przetestować, czy skojarzenia zabezpieczeń IPSec zostały pomyślnie uruchomione. Aby uruchomić IPSecMon:
  1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
  2. Wpisz: ipsecmon i kliknij klawisz ENTER.
  3. Kliknij przycisk Opcje.
  4. Zmień okres odświeżania na 1.
Należy uruchomić komunikację z jednego punktu końcowego do drugiego. Może wystąpić opóźnienie, ponieważ wymiana informacji szyfrującej pomiędzy punktami końcowymi oraz wykonanie skojarzenia zabezpieczeń może zająć kilka sekund. Zachowanie takie można obserwować w oknie programu IPSecMon. Budowanie przez punkty końcowe wzajemnych skojarzeń zabezpieczeń można obserwować w oknie programu IPSecMon, w którym jest ono wyświetlane.

Jeżeli jest oczekiwane zbudowanie skojarzenia zabezpieczeń, ale nic takiego się nie dzieje, należy wrócić do list filtrów i przejrzeć je dla każdego punktu końcowego. Należy upewnić się, czy używane protokoły zostały poprawnie zdefiniowane, ponieważ łatwo jest zamienić adres źródłowy z docelowym lub odwrócić porty. Można także utworzyć nowe listy filtrów, w których zostanie określony cały ruch. Ponadto, można dodać nową regułę do zasady używającej tej listy filtrów, a następnie wyłączyć istniejącą regułę. Kroki te należy wykonać w obu punktach końcowych. Oprócz tego można użyć polecenia ping do przetestowania połączenia: polecenie ping wyświetli komunikat „Negocjowanie zabezpieczeń IP” podczas fazy kojarzenia zabezpieczeń, a potem wyświetli zwykły wynik po skojarzeniu zabezpieczeń.

Translacja NAT i protokół IPSec są ze sobą niezgodne

Jeżeli pomiędzy dwoma punktami końcowymi istnieje jakakolwiek translacja adresów sieciowych (NAT), protokół IPSec nie będzie działał. Protokół IPSec osadza adresy punktów końcowych jako część ładunku. Protokół IPSec używa ponadto adresów źródłowych podczas obliczania sumy kontrolnej pakietu przed jego wysłaniem. Translacja NAT może zmienić adres źródłowy wychodzącego pakietu, a punkt docelowy używa adresu w nagłówku podczas obliczania własnej sumy kontrolnej. Obliczona suma kontrolna źródła przesłana w pakiecie nie będzie zgodna z obliczoną w punkcie docelowym i punkt docelowy może utracić pakiety. Nie można używać protokołu IPSec z żadnym typem urządzenia translacji NAT.



Materiały referencyjne

Wytyczne oraz szczegółowe informacje techniczne na temat protokołu IPSec w systemie Windows 2000 znajdują się w witrynie sieci Web firmy Microsoft pod adresem:
http://www.microsoft.com/windows2000/technologies/security/default.asp


Właściwości

Numer ID artykułu: 301284 - Ostatnia weryfikacja: 19 września 2003 - Weryfikacja: 2.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbhowto kbhowtomaster KB301284

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com