Ako na použitie Internet Protocol Security zabezpečený prenos v sieti medzi dvoma hostiteľmi v systéme Windows 2000

Preklady článku Preklady článku
ID článku: 301284 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Tento článok je krok za krokom výučba Sprievodca umožniť Pokročilí používatelia nakonfigurovať Internet Protocol security (IPSec), takže môžu zabezpečenie komunikácie medzi dvoma hostiteľské počítače.

Protokol IPSec terminológia

Zabezpečiť, aby ste vedeli, čo znamenajú pred vami nasledujúce pojmy vykonávať nasledujúce pokyny:
  • Overenie: Proces na určenie ak totožnosť počítač je legitímny. Windows 2000 IPSec podporuje tri druhy z Autentifikácia: Kerberos, certifikáty a predbežne zdieľané kľúče. Kerberos overenia môžete pracovať iba vtedy, ak obe koncové body (počítače) v tom istom Doména Windows 2000. Tento typ overenia je uprednostňovanou metódou. Ak počítače sú v rozdielnych doménach, alebo aspoň jeden z nich nie je v domény, musíte použiť certifikáty alebo predbežne zdieľané kľúče. Certifikáty môžete pracovať len vtedy, ak každý koncový bod obsahuje osvedčenie, ktoré je podpísané orgán, ktorý verí, iné koncový bod. Predbežne zdieľané kľúče majú rovnaké problémy heslá robiť: nie zostávajú tajné na veľmi dlhé časové obdobie. Ak koncové body nie sú v rovnakej doméne a nemôžete získať certifikáty, predbežne zdieľané kľúče sú vaša jediná možnosť overovania.
  • Šifrovanie: Proces tvorby údajov nejasný v príprava pre prenos medzi dvoma koncové body. Pomocou správne testované kmene algoritmy, každý koncový bod konštrukcie a výmen kryptografické kľúče. The proces zabezpečuje, že iba koncové body vedieť klávesy; a ak akékoľvek key exchange sekvencie sú zachytené, stíhací nezíska nič hodnoty.
  • Filter: Popis internetového protokolu (IP) adresy a protokoly, ktoré môže vyvolať zriadenie zabezpečenia protokolu IPSec združenie.
  • Akcia filtrov: bezpečnostné požiadavky, ktoré môžu byť zapnutá pri dopravy zhoduje s filtrami v zozname filtrov.
  • Zoznam filtrov: kolekcia filtre.
  • Internet Protocol security policy: kolekcia pravidlá ktoré popisujú, ako sú zabezpečené komunikácie medzi počítačmi.
  • Pravidlo: Prepojenie medzi zoznam filtrov a akciu filtra. Keď prevádzku zodpovedá zoznamu filtrov, môže byť zodpovedajúce akcia filtra spustí. Politiky protokolu IPSec môže obsahovať viacero pravidiel.
  • Priradenie zabezpečenia: kolekcia overovania a metódy šifrovania, ktoré koncové body vyjednávajú vytvoriť bezpečné relácie.

Nájsť IPSec v konzole Microsoft Management Console

Môžete konfigurovať protokol IPSec pomocou Microsoft Management Console (MMC). Windows 2000 vytvorí konzoly MMC s modulom protokolu IPSec počas inštalácie proces. Vyhľadajte protokolu IPSec, kliknite na tlačidlo Štart, ukážte na Programy, kliknite na tlačidlo Administratívne nástroje, a potom kliknite na tlačidlo Lokálna politika zabezpečenia. V konzole MMC, ktorý sa otvorí, kliknite na tlačidlo Politiky zabezpečenia protokolu IP na lokálny počítač na ľavej table. Potom, MMC zobrazí existujúce predvolené politiky v pravej table.

Zmeniť adresu IP, názvov počítačov a používateľských mien

Na účely tohto príkladu, Alice je používateľ počítač s názvom "Alicepc" s adresou IP 172.16.98.231 a Bob má počítač s názvom "Bobslap" s adresou IP 172.31.67.244. Pripojte svoje počítače pomocou pomocou programu Abczz.

Alica a Bob musí zabezpečiť prevádzku je zašifrovaný priamo pripojení navzájom pomocou Abczz program. Keď Abczz robí svoje pripojenie, iniciátor používa port náhodný vysokej sebe a spája (na účely tohto príkladu) na miesto určenia na port 6667/TCP alebo 6668/TCP (TCP je skratka pre prenos Riadiaci protokol). Zvyčajne sa používajú tieto porty pre Internet Relay Chat (IRC). Pretože Alice alebo Bob môžete inicializujete pripojenia, politika musí existujú na oboch koncoch.

Vytvoriť zoznam filtrov

Menu pre vytváranie politiky protokolu IPSec sú prístupné Ak ste Kliknite pravým tlačidlom myši Politiky zabezpečenia protokolu IP v konzole MMC. Prvý položka ponuky je "vytvoriť politiku zabezpečenia protokolu IP. ” Hoci toto umiestnenie sa môže zdať na byť miesto začať, nie je správne miesto. Pred vytvorením politiky a jej pridružené pravidlá, musíte definovať zoznamov filtrov a filtrov opatrení, ktoré sú potrebné komponenty nejakú politiku protokolu IPSec. Začnite vaše práce Kliknutím na Spravovať zoznamy filtrov protokolu IP a akcie filtra.

Dialógovom okne sa zobrazí sa nachádzajú dve karty: jednu pre zoznamy filtrov a iné pre akcie filtra. Po prvé, Spravovať zoznamy filtrov protokolu IPkartu otvorí. Existuje už dva zoznamy preddefinovaných filtrov, ktoré nepoužívate. Namiesto toho môžete vytvoriť zoznam špecifických filtrov, ktorý zodpovedá druhej počítač, ktorý chcete pripojiť.

Predpokladajme, že vytvárate politika v počítači, do ktorej patrí Alice:
  1. Kliknite na tlačidlo Pridať Ak chcete vytvoriť nový zoznam filtrov. Názov zoznamu "Abczz Bob PC".
  2. Kliknite na tlačidlo Pridať Ak chcete pridať nový filter. Spustí Sprievodca.
  3. Kliknite na tlačidlo Moja adresa IP ako zdroj.
  4. Kliknite na konkrétnu IP adresu ako miesto určenia, a potom Zadajte adresu IP (172.31.67.244) počítača, do ktorej patrí Bob. Alternatívne, ak počítač, ktorý patrí do Bob je registrovaný v doméne Name System (DNS) alebo názov služby WINS (Windows Internet), môžete vybrať špecifické DNS názov a potom zadajte názov počítača, do ktorej patrí Bob namiesto toho, čo je "Bobslap".
  5. Abczz používa protokol TCP pre jej oznámenie, tak kliknite TCP ako typ protokolu.
  6. Porty protokolu IP, kliknite na tlačidlo Z ľubovoľného portu. Kliknite na tlačidlo Na tento port, typ: 6667, a potom kliknite na tlačidlo Dokončiť dokončite prácu so sprievodcom.
  7. Zopakujte predchádzajúce kroky, okrem tohto času typu:6668 ako číslo portu a potom kliknite na tlačidlo Zatvorte.
Zoznam filtra obsahuje dva filtre: jeden pre komunikácie z Alice Bobovi na porte 6667, (ktorý patrí do Bob) a jeden port 6668 (ktoré patria Bob). (Bob má aj port, 6667 a 6668 nastaviť na jeho počítač: je jeden port odchádzajúcej komunikácie a druhý pre prichádzajúce oznámenie.) Tieto filtre zrkadlené, ktorá je vo všeobecnosti potrebné kedykoľvek môžete vytvoriť filtri protokolu IPSec. Pre každý filter, ktorý vedie k rovnakému zoznamu môže obsahovať (ale nie displej) presne opačné filtra kde zdroj a cieľové adresy sú prevrátené. Bez zrkadlové filtre, IPSec komunikácia je zvyčajne neúspešný.

Vytvoriť akciu filtra

Ste definovali druhu prevádzky, ktoré musia by zabezpe?ené. Teraz musíte zadať bezpečnostný mechanizmus. Kliknite na tlačidlo Spravovať akcií filtra kartu. Existujú tri predvolené hodnoty, ktoré sú uvedené. Skôr než pomocou The Požaduje sa zabezpečenie akcie, musíte vytvoriť novú akciu, ktorá je prísnejšie.

Ak chcete vytvoriť novú akciu:
  1. Kliknite na tlačidlo Pridať Ak chcete vytvoriť novú akciu filtra. Spustí Sprievodca. Názov akcie "Zašifrovanie Abczz".
  2. Pre Všeobecné možnosť, kliknite na tlačidlo Rokovanie zabezpečenia a potom kliknite na Nemôže komunikovať s počítače, ktoré nepodporujú protokol IPSec.
  3. Kliknite na tlačidlo Vysokého zabezpečenia prenosu protokolu IPmožnosť a potom kliknite na Dokončiť Zatvorte okno sprievodcu.
  4. Dvakrát kliknite na novú akciu filtra (ktorú ste predtým pod názvom "Zašifrovanie Abczz").
  5. Kliknutím zrušte začiarknutie políčka Prijímať nezabezpečenú komunikáciu, ale pri odpovedi vždy použiť protokol IPSec začiarkavacie políčko. Tento krok zabezpečí, aby sa počítače sa musia dohodnúť IPSec pred odoslaním paketu Abczz.
  6. Kliknite na tlačidlo Relácia perfect forward secrecy kľúčaaby sa nemôžu znova použiť je kľúčový materiál, kliknite na tlačidlo ok, a potom kliknite na tlačidlo Zatvorte.

Vytvoriť politiku protokolu IPSec

Ste získali prvky politiky. Teraz môžete vytvoriť politiky, sama. Kliknite pravým tlačidlom na pravej table MMC a potom kliknite na tlačidlo Vytvoriť politiku zabezpečenia protokolu IP. Keď sa spustí sprievodca:
  1. Názov politiky „Alica IPSec".
  2. Kliknutím zrušte začiarknutie políčka Aktivovať predvolenú odpoveď pravidlo začiarkavacie políčko.
  3. Kliknite na tlačidlo Upraviť vlastnosti Ak nie je vybratá, a potom dokončite sprievodcu. The Vlastnosti otvorí dialógové okno politiky.
Politiky protokolu IPSec pracovať, musí obsahovať aspoň jedno pravidlo zoznam filtrov, ktoré odkazy na akciu filtra.

Špecifikovať pravidlá v Vlastnosti dialógové okno:
  1. Kliknite na tlačidlo Pridať Ak chcete vytvoriť nové pravidlo. Po spustení Sprievodcu, kliknite na tlačidlo Toto pravidlo neurčuje tunelové prepojenie.
  2. Kliknite na tlačidlo Lokálnej siete (LAN) pre typ siete.
  3. Kliknite na tlačidlo Windows 2000 predvolené (Kerberos V5 protokol) pre metódu overovania ak obidva počítače Alice a Bob sú v rovnakej doméne systému Windows 2000. Ak nie, kliknite na tlačidlo Používanie tohto reťazec na ochranu výmeny kľúčov (vopred zdieľaný kľúč) a potom zadajte reťazec (použitie dlhé reťazec, ktorý môžete pamätať a typu bez tvorby chyby).
  4. Vyberte zoznam filtrov, ktorý ste vytvorili predtým. V tomto napríklad zoznam filtrov je "Abczz Bob PC". Potom vyberte akciu filtra aby ste vytvorili predtým. V tomto príklade akcia filtra je "zašifrovať Abczz".
  5. Dokončite sprievodcu a potom kliknite na tlačidlo Zatvorte.

Konfigurovať iné koncové body

Opakovať v počítači, do ktorej patrí Bob všetky predchádzajúce postupy, ktoré sa uplatňovalo na počítač, ktorý patrí k Alice. The potrebné zmeny sú zrejmé, napríklad „Abczz Bob PC"musí byť zmenené k "Abczz Alica PC".

Priradenie politík

Ste definovali politík na oboch koncoch. Teraz musíte priradiť ich:
  1. V Lokálne nastavenie zabezpečenia MMC, Kliknite pravým tlačidlom myši (politikaAbczz v tomto príklade).
  2. Kliknite na tlačidlo Priradiť.
Iba jedna politika protokolu IPSec je možné priradiť naraz, ale jedinej politika mô e mať toľko pravidlá ako budete potrebovať. Napríklad, ak Alice tiež potrebuje zabezpečenú komunikáciu s Evou pomocou iný protokol, musíte vytvoriť zoznamy vhodných filtrov a akcií a potom pridáte pravidlo Protokol IPSec, (ktorý patrí do Alice), ktoré spája dohromady tento zoznam špecifických filtrov a akcia filtrov. Kliknite na tlačidlo Pre toto použitie rôznych zdieľaný kľúč pravidlo. Politika pre Alice má teraz dve pravidlá: jeden pre Abczz komunikácia s Bob a iného pre komunikáciu s Eve. Pretože Bob a Eva nemusia navzájom bezpečne, politiky pre Bob nemá nič pridané a politika pre Eve obsahuje jediné pravidlo pre komunikáciu s Alice.

Riešenie problémov

Použiť IPSecMon na testovanie vaša politika

Windows 2000 obsahuje pomôcku (IPSecMon.exe), ktoré môžete použiť na otestovanie, či priradenie zabezpečenia protokolu IPSec sa úspešne vytvorilo. Na spustenie IPSecMon:
  1. Kliknite na tlačidlo Štart, a potom kliknite na tlačidlo Spustiť.
  2. Typ: ipsecmon, a potom stlačte kláves ZADAJTE.
  3. Kliknite na tlačidlo Možnosti.
  4. Zmena intervalu obnovovania na 1.
Musíte vytvoriť komunikácie z jedného koncového bodu ostatné. Môže byť oneskorenie, pretože to trvá niekoľko sekúnd pre koncové body na výmenu kryptografických informácií a dokončite priradenie zabezpečenia. Ste Toto správanie v IPSecMon, môže pozorovať. Ak koncové body každý vybudovať ich priradenia zabezpečenia, môžete pozorovať zápisom IPSecMon, ktorá zobrazuje toto správanie.

Ak predpokladáte, že priradenie zabezpečenia má byť vybudovaná, ale nič sa nedeje, vrátiť a preskúmanie zoznamy filtrov na každý ukazovateľ. Zabezpečiť aby ste dostali správne definície pre protokoly, ktoré používate ako ľahko môžete stornovať zdrojové a cieľové adresy alebo zvrátiť porty. Možno budete chcieť zvážiť vytvorenie nový filter zoznam že Určuje všetky prenosy. Tiež môžete pridať nové pravidlo politiky, ktoré používa Tento zoznam filtra, a potom vypnúť existujúce pravidlo. Vykonajte tieto kroky na obe koncové body. Potom, môžete použiť príkaz ping príkaz na testovanie pripojenia: príkaz ping Zobraziť príkaz "Negociačná zabezpečenia protokolu IP" počas bezpečnosť združenie fáze a potom zobraziť jeho normálnej výsledky pri bezpečnosť združenie usadené.

NAT a IPSec sú nekompatibilné

Ak existuje akékoľvek Network Address Translation (NAT) medzi oboma koncové body protokolu IPSec nepracuje. Protokol IPSec vloží koncový bod adresy ako súčasť užitočného zaťaženia. Protokol IPSec používa tiež zdrojových adries, keď vypočíta paket kontrolné súčty pred uložením pakety na drôt. NAT môžete zmeniť zdrojovú adresu odchádzajúce pakety a miesto určenia použije adresu v hlavičke keď to vypočíta svoje vlastné kontrolné súčty. Pôvodný zdroj vypočítaná checksums v pakety, nezhodujú určenia vypočítanej checksums, a určenia môžete kvapka pakety. Protokol IPSec nie je možné použiť s akýmkoľvek typom NAT zariadenie.

Vlastnosti

ID článku: 301284 - Posledná kontrola: 31. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kľúčové slová: 
kbhowtomaster kbmt KB301284 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:301284

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com