Практическое использование безопасности протокола IP для безопасного сетевого трафика между двумя узлами в Windows 2000

Переводы статьи Переводы статьи
Код статьи: 301284 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Эта статья представляет собой руководство пошаговые инструкции для включения для опытных пользователей, настройка безопасности протокола (IP IPSec), таким образом, они могут безопасная связь между двумя компьютерами.

Терминология IPSec

Убедитесь, что знаете что означают термины перед выполните следующие инструкции:
  • : Процесс проверки подлинности Для определения подлинности компьютер является законной. IPSec в Windows 2000 поддерживает три типа элемента Проверка подлинности: Kerberos, сертификаты и предварительные ключи. Kerberos Проверка подлинности может работать только в том случае, если обе конечные точки (компьютеры), в том же Домен Windows 2000. Этот тип проверки подлинности, метод является предпочтительным. Если компьютеры находятся в разных доменах или хотя бы один из них находится не в домен, необходимо использовать сертификаты или предварительные ключи. Сертификаты можно работает только в том случае, если каждая конечная точка содержит сертификат, подписанный Центр, который доверяет другую конечную точку. Предварительные ключи имеют те же проблемы что делать пароли: они не держаться в секрете для очень длительное время. Если конечные точки не находятся в том же домене и не могут получать сертификаты, предварительные ключи являются единственной возможностью проверки подлинности.
  • Шифрование: Процесс, позволяющий данных неточный в Подготовка для передачи данных между двумя конечными точками. С помощью проверенной алгоритмы, каждая конечная точка конструкции и обменивается криптографические ключи. В процедура гарантирует, что знаете только конечные точки, ключи; и если любой обмен ключами перехват последовательности, злоумышленник получает ничего значение.
  • Фильтр: Описание этого протокола Интернета (IP) адреса и протоколы, которые могут вызвать установление безопасности IPSec ассоциации.
  • Действие фильтра: требования к безопасности, которые могут быть включена, если трафик соответствует фильтров в список фильтров.
  • Список фильтров: набор фильтров.
  • Политика безопасности протокола Интернета: набор правил описывают способ обеспечения безопасности связи между компьютерами.
  • Правило: Связь между списком фильтров и действия фильтров. Когда трафик соответствует список фильтров, соответствующие действия фильтра могут быть запущено. Политики IPSec могут содержать несколько правил.
  • Сопоставления безопасности: Коллекция проверки подлинности и методы шифрования, согласование конечных точек для установления безопасных сеанс.

Найти IPSec в консоли управления MMC

Настроить IPSec с помощью консоли управления (MMC). Windows 2000 создает консоль MMC с оснасткой IPSec во время установки процесс. Чтобы найти IPSec, нажмите кнопку Начало, выберите пункт Программы, нажмите кнопку Администрирование, а затем нажмите кнопку Локальная политика безопасности. В консоли MMC, которая открывается нажмите кнопку Политики безопасности IP на локальный компьютер в левой области. Затем в консоли MMC отображает существующих по умолчанию политики на правой панели.

Изменение IP-адреса, имена компьютеров и имена пользователей

Для этого примера Алиса — это пользователь, который имеет компьютер с именем «alicepc» с IP-адресом 172.16.98.231 и Боб находится компьютер с именем «bobslap» с IP-адресом 172.31.67.244. Они подключают компьютеры по с помощью программы Abczz.

Алиса и Боб необходимо убедиться, что трафик шифруется, когда они подключаются непосредственно друг с другом с помощью Abczz Программа. При Abczz делает его подключения, вызывающая сторона использует случайные высокая порта на самом себе и подключает (для этого примера) до места назначения на порт 6667/TCP или 6668/TCP (где TCP — аббревиатура для передачи данных Протокол управления). Как правило эти порты используются для Internet Relay Chat (IRC). Поскольку Алиса и Боб может инициировать подключение, политики должны существует на обоих концах.

Создание списка фильтров

Меню для создания политик IPSec доступны Если вы Щелкните правой кнопкой мыши Политики безопасности IP в консоли MMC. Первый элемент меню "Создать политику безопасности IP.» Несмотря на то, что это место может показаться для быть место для начала, это не правильное расположение. Перед созданием политика и связанные с ним правила для определения списков фильтров и фильтров действия, которые имеют необходимые компоненты любой политики IPSec. Начать работу с нажав кнопку Управление списками фильтров IP и действий фильтров.

Откроется диалоговое окно имеет две вкладки: одна для списков фильтров и другие действия фильтра. Во-первых, Управление списками фильтров IPОткроется вкладка. Уже есть две предопределенные списки фильтров, которые не используются. Вместо этого можно создать список определенных фильтров, который относится к другому компьютер, нужно соединиться.

Предположим, что политики на компьютере, который принадлежит Алисе.
  1. Нажмите кнопку Добавить для создания нового списка фильтров. Имя списка "Abczz для Боба ПК".
  2. Нажмите кнопку Добавить Чтобы добавить новый фильтр. В окне мастера.
  3. Нажмите кнопку Мой IP-адрес в качестве источника.
  4. Выберите IP-адрес в качестве цели, а затем Введите IP-адрес компьютера, к которому принадлежит Бобу (172.31.67.244). Кроме того Если компьютер, принадлежащий к Бобу зарегистрирован в домене Имен (DNS) или служба имен Интернета (WINS), можно выбрать конкретные DNS имя, а затем введите имя компьютера, к которому принадлежит Бобу Вместо этого, которая является «bobslap».
  5. Abczz использует протокол TCP для его подключения, поэтому нажмите кнопку TCP в качестве типа протокола.
  6. Порты протокола IP нажмите кнопку Любой порт. Нажмите кнопку К этому порту, введите: 6667, а затем нажмите кнопку Окончание Чтобы завершить работу мастера.
  7. Повторите предыдущие шаги, за исключением этого типа времени:6668 номер порта и нажмите кнопку Закрыть.
Список фильтров содержит двух фильтров: один для связи от Алисы Бобу на порту 6667 (которому принадлежит Бобу) и один порт 6668 (которому принадлежит Бобу). (Bob имеет оба порт 6667 и на его 6668 компьютер: один — для исходящей связи, а другой — для входящих связь). Эти фильтры зеркальной, которая обычно необходима При каждом создании фильтров IPSec. Для каждого фильтра, который отображается зеркально список может содержать (но не отображать) полностью противоположными фильтр где источник и адреса назначения отменяются. Без отраженные фильтры IPSec связи обычно неудачно.

Создание действия фильтра

Определен тип трафика, который необходимо защитить. Теперь необходимо указать механизм обеспечения безопасности. Нажмите кнопку Управление действиями фильтра Вкладка. Существуют три значения по умолчанию, перечисленных. Вместо использования очередь Требовать безопасность действие, необходимо создать новое действие, более жесткими.

Чтобы создать новое действие:
  1. Нажмите кнопку Добавить Чтобы создать новое действие фильтра. В окне мастера. Имя действия «Шифрование Abczz».
  2. Для Общие параметр, нажмите кнопку Согласование безопасность, а затем нажмите кнопку Не поддерживают связь с компьютерами, не поддерживающими IPSec.
  3. Нажмите кнопку Высокий уровень безопасности IP-трафикапараметр, а затем нажмите кнопку Окончание Чтобы закрыть мастер.
  4. Дважды щелкните действие фильтра (которого вы ранее "Шифровать Abczz" с именем).
  5. Снимите флажок Принимать небезопасную связь, но отвечать с помощью IPSec флажок. Этот шаг гарантирует, что компьютеры должны согласовать IPSec, перед отправкой пакета Abczz.
  6. Нажмите кнопку Сеанс Сеансовые циклы безопасной пересылкиЧтобы убедиться в том, что ключевой материал не используется повторно, нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Создание политики IPSec

Вы получили элементы политики. Теперь можно создать самой политики. Щелкните правой кнопкой мыши в правой панели консоли управления MMC и нажмите кнопку Создать политику безопасности IP. При запуске мастера:
  1. Имя политики «Алисы IPSec».
  2. Снимите флажок Активировать ответ по умолчанию Правило флажок.
  3. Нажмите кнопку Изменение свойств Если он не установлен, а затем завершите работу мастера. В Свойства Откроется диалоговое окно политики.
Политики IPSec для работы он должен содержать хотя бы одно правило для действия фильтра, которая связывает список фильтров.

Чтобы задать правила в Свойства диалоговое окно:
  1. Нажмите кнопку Добавить Чтобы создать новое правило. После запуска мастера, нажмите кнопку Это правило не указывает туннель.
  2. Нажмите кнопку Локальной сети (LAN) для Тип сети.
  3. Нажмите кнопку По умолчанию Windows 2000 (Kerberos V5 Протокол) Если оба метода проверки подлинности компьютеров Алиса и Боб находятся в одном домене Windows 2000. В противном случае нажмите кнопку Используйте это Строка для защиты обмена ключами (предварительный ключ), а затем введите строка (используйте длинную строку, которую можно запомнить и вводить без внесения ошибки).
  4. Выберите ранее созданный список фильтров. В этом Например, список фильтров, «Abczz Боба ПК». Выберите действие фильтра созданный ранее. В этом примере действие фильтра — «зашифровать Abczz".
  5. Завершите работу мастера и нажмите кнопку Закрыть.

Настройте другие конечные точки

Повторите на компьютере, к которому принадлежит Ивану все выше процедуры, примененные к компьютеру, к которому принадлежит Алисе. В необходимые изменения очевидны, например, «Abczz Боба ПК» должен быть изменен для «abczz Алисы ПК».

Назначения политик

Политики определены на обоих концах. Теперь необходимо назначить их:
  1. В Локальные параметры безопасности консоли MMC, Щелкните правой кнопкой мыши (политики)Abczz в этом примере).
  2. Нажмите кнопку Назначение.
Только одна политика IPSec могут быть назначены за один раз, кроме одного политики могут иметь столько правил. Например, если Алиса также должен безопасный обмен данными с вечер, используя другой протокол, необходимо Создание списков фильтров и действий, а затем добавьте правило IPSec (которая принадлежит Алисе) который связывает этот список специального фильтра и действие фильтра. Нажмите кнопку Использовать другой общий ключ Правило. Политика для Алиса теперь имеет два правила: одно для Abczz связь с Бобом и другой — для связи с вечер. Так как Боб и вечер нет необходимости безопасно обмениваться данными друг с другом, политики для Боб не имеет ничего добавить к нему и содержит политику для вечер одно правило для взаимодействия с Алисой.

Устранение неполадок

Проверка политики с помощью средства IPSecMon

Windows 2000 включает в себя программы (IPSecMon.exe), можно использовать Чтобы проверить правильность сопоставления безопасности IPSec успешно установлено. Для Запуск средства IPSecMon.
  1. Нажмите кнопку Начало, а затем нажмите кнопку Запустить.
  2. Тип: Ipsecmon, а затем нажмите клавишу ВВОД.
  3. Нажмите кнопку Параметры.
  4. Изменить интервал обновления 1.
Необходимо установить связь с одной конечной точки другие. Может быть задержка, так как он занимает несколько секунд для конечных точек для сведениями о ключе шифрования и выполнить сопоставление безопасности. Вы можно наблюдать за это поведение средства Ipsecmon. При построении конечные точки каждого их сопоставления безопасности можно наблюдать за запись средства Ipsecmon, отображается этот поведение.

Если предполагается, что сопоставление безопасности для построения, но ничего не происходит, вернуться назад и просмотреть списки фильтров для каждой конечной точки. Убедитесь, что о получении правильных определений для протоколов, которые используются как можно легко обратного адреса источника и назначения или отмены порты. Необходимо рассмотреть возможность создания нового фильтра, список Определяет весь трафик. Кроме того можно добавить новое правило политики, который использует Этот список фильтров, а затем отключить существующее правило. Выполнение этих действий на обе конечные точки. После этого можно использовать Сообщение об ошибке «Проверка связи команды для проверки возможности подключения: Сообщение об ошибке «Проверка связи можно отобразить команды «Negotiating IP-безопасности» во время безопасности Ассоциация этап, а затем отобразите его обычные результаты при безопасности установки связи.

Несовместимые функции NAT и IPSec

Если между двумя любое преобразование сетевых адресов (NAT) конечные точки, IPSec не работает. IPSec внедряет адреса конечной точки в рамках полезные данные. IPSec также использует адреса источника, когда она рассчитывает контрольных пакетов Перед depositing пакетов по сети. NAT можно изменить адрес источника исходящих пакетов, а также назначения использует адрес в заголовке при его Вычисляет собственные контрольные суммы. Передавая исходные контрольные вычисляемые источника пакеты, не соответствуют контрольных сумм вычисляются назначения и назначения можно удалять пакеты. Нельзя использовать IPSec с любым типом NAT устройство.

Свойства

Код статьи: 301284 - Последний отзыв: 5 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbhowtomaster kbmt KB301284 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:301284

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com