Windows 2000'de iki ana bilgisayar arasında güvenli ağ trafiği nasıl kullan ınternet Protokolü güvenliği

Makale çevirileri Makale çevirileri
Makale numarası: 301284 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu makalede, ınternet Protokolü güvenliği (ıpsec), iki ana bilgisayarlar arasındaki iletişimin güvenliğini sağlayabilirsiniz şekilde yapılandırmak, ileri düzeydeki kullanıcılar'ı etkinleştirmek için bir adım adım yönerge kılavuzdur.

Ipsec terimleri

Aşağıdaki yönergeler gerçekleştirmeden önce aşağıdaki koşulları anlamı bildiğinizden emin olun:
  • Kimlik doğrulama: bir bilgisayarın kimliğini meşru olup olmadığını belirleme işlemi. Windows 2000 ıpsec kimlik doğrulaması için üç tür destekler: Kerberos, sertifika ve önceden paylaşılan anahtarlar. Kerberos kimlik doğrulaması, yalnızca her iki bitiş noktası (bilgisayarlar) aynı Windows 2000 etki alanında ise çalışabilirsiniz. Bu tür kimlik doğrulaması için tercih edilen yöntemdir. Sertifikalar veya önceden paylaşılmış anahtarlar, bilgisayarlar farklı etki alanlarında veya bir etki alanında en az biri değil, kullanmalısınız. Her bitiş noktası diğer bitiş noktası güvenler, bir sertifika yetkilisi tarafından imzalanmış bir sertifika varsa, sertifikaları çalışabilirsiniz. Önceden paylaşılmış anahtarları, parolaları aynı sorunlarla: kullanıcılar uzun bir süre için gizli kalması değil. Bitiş noktaları, aynı etki alanında olmayan ve sertifikaları alamıyor, önceden paylaşılmış anahtarlar, tek kimlik doğrulama seçeneği ' dir.
  • Şifreleme: veri indistinct iki bitiş noktası arasında bir iletim için hazırlık yapma işlemi. Her bitiş noktası well-tested algoritmaları kullanılarak, yapıları ve şifreleme anahtarlarını değiştirir. Işlem sağlar; anahtarlar yalnızca bitiş noktaları biliyor ve herhangi bir anahtar değişimi serilerini altyapısından, yakalayıcısı hiçbir şey değerini alır.
  • Filtre: BIR açıklama ınternet iletişim kuralı (IP) adresleri ve, iletişim kuralları, bir ıpsec güvenlik ilişkisi kurma tetikleyebilir.
  • Süzme eylemi: trafiğe filtre listesinde filtre eşleştiğinde güvenlik gereksinimleri etkinleştirilebilir.
  • Süzgeç listesi: BIR süzgeç topluluğudur.
  • ınternet iletişim kuralı güvenlik ilkesi: kurallar, bilgisayarlar arasındaki iletişimi güvenli olduğundan açıklayan topluluğu.
  • Kural: Bir süzgeç listesi ve süzme eylemi arasındaki bağlantı. Trafiği için bir süzgeç listesiyle eşleştiğinde, süzme eylemi ilgili tetiklenebilir. Ipsec ilkesi, birden çok kural içerebilir.
  • Güvenlik ilişkilendirmesi: bitiş noktaları güvenli oturumu için anlaşma kimlik doğrulama ve şifreleme yöntemleri topluluğu.

Microsoft Management Console'da ıpsec bulma

Ipsec, Microsoft Yönetim Konsolu'nu (MMC) kullanarak yapılandırın. Windows 2000 yükleme işlemi sırasında MMC'YE ıpsec ek bileşeni ile oluşturur. Ipsec bulmak için Başlat ' ı tıklatın, Programlar ' ın üzerine gelin, Yönetimsel Araçlar ' ı tıklatın ve sonra Yerel güvenlik ilkesi ' ni tıklatın. Açılan MMC sol bölmede yerel makine üzerindeki IP güvenlik ilkeleri ' ni tıklatın. Daha sonra MMC varolan varsayılan ilkeler, sağ bölmede görüntüler.

IP adresi, bilgisayar adlarını ve kullanıcı adları değiştirme

Bu örnek amacıyla, Filiz 172.16.98.231 IP adresiyle "Alicepc" adlı bir bilgisayar olan bir kullanıcıdır ve Kemal 172.31.67.244 IP adresiyle "Bobslap" adlı bir bilgisayarın var. Bunlar, bilgisayarlarını Abczz programını kullanarak bağlanın.

Gamze ve Kemal, doğrudan birbirlerine Abczz kullanarak bağlandıklarında trafiğinin şifrelenmesini sağlamak gerekir program. Abczz, bağlantı yaptığında, başlatıcı rasgele yüksek bağlantı noktası kendisini kullanır ve (TCP iletim Denetimi Protokolü kısaltması olduğu) hedef 6667/TCP bağlantı noktası veya 6668/TCP (amacıyla bu örnek) bağlanır. Genellikle, bu bağlantı noktaları için ınternet Relay Chat kullanılır (IRC). Gamze veya Can bağlantısı başlatabileceğinden, ilkeyi her iki tarafın üzerinde bulunmalıdır.

Filtre listesi oluşturma

MMC konsolundaki IP güvenlik ilkeleri sağ tıklatırsanız, menüleri, ıpsec ilkeleri oluşturmak için erişilebilir. Ilk menü öğesi "oluşturma IP güvenlik ilkesi." Bu konumda yer, başlamak için görünebilir olsa bile, konumun doğru değil. Ilke ve ilişkili kurallarını oluşturmadan önce süzgeç listesi tanımlama ve herhangi bir ıpsec ilkesinin gerekli bileşenleri olan eylemler için süzgeç gerekir. Manage IP süzgeç listelerini ve filtreleme eylemlerini tıklatarak çalışmanızı başlar.

Görüntülenen iletişim kutusunda, iki sekme vardır: süzgeç listeleri ve süzme eylemleri için diğer bir. Birinci, yönetme, IP süzgeç listeleri açar sekmesi. Önceden kullanmadığınız iki önceden tanımlanmış süzgeç listeleri vardır. Bunun yerine, bağlanmak istediğiniz diğer bilgisayara karşılık gelen bir özel süzgeç listesi oluşturabilirsiniz.

Ilke için Filiz ait olduğu bilgisayarda oluşturduğunuz varsayılmıştır:
  1. Yeni bir süzgeç listesi oluşturmak için Ekle ' yi tıklatın. Liste adı "Can'ın için Abczz PC".
  2. Yeni bir süzgeç eklemek için Ekle ' yi tıklatın. Bir sihirbaz başlatır.
  3. IP adresi kaynağı olarak'ı tıklatın.
  4. Hedef olarak belirli bir IP adresini tıklatın ve Kemal için ait olduğu bilgisayarın IP adresidir (172.31.67.244) girin. Alternatif olarak, Kemal için ait olduğu bilgisayarı, etki alanı adı sistemi (DNS) veya Windows ınternet ad hizmeti (WINS) kayıtlı, seçebilir belirli bir DNS adı ve sonra "Bobslap" olan Bob için bunun yerine, ait olduğu bilgisayarın adını girin.
  5. Abczz, iletişim için TCP kullanır, böylece TCP iletişim kuralı türü olarak'ı tıklatın.
  6. IP protokolü bağlantı noktaları için herhangi bir bağlantı noktasından ' ı tıklatın. Bu bağlantı noktasına tıklatın türü: 6667 ve Sihirbazı tamamlamak için son ' u tıklatın.
  7. Bu saat türünü dışında yukarıdaki adımları yineleyin: bağlantı noktası numarası olarak 6668 ve sonra Kapat ' ı tıklatın.
Iki süzgeç, süzgeç listesini içerir: (Bob için ait olduğu) bir bağlantı noktası 6667 Bob için Filiz gelen iletişimler için ve bir bağlantı noktası 6668 (Bob için ait olduğu). (Kemal 6667 ve bu bilgisayarda kurulu 6668 her iki bağlantı noktası vardır: bir bağlantı noktası ve gelen iletişim diğeri giden iletişim içindir.) Bu süzgeç, bir ıpsec süzgeç oluşturduğunuz zaman, genellikle gerekli olduğu yansıtılır. Yansıtılır her süzgeç listesinde (değil ekran) tam bir kaynak ve hedef adresleri ters çevrilir süzgeç ters içerebilir. Yansıtılmış süzgeçler ıpsec olmadan iletişim genellikle başarısızdır.

Süzme eylemi oluşturun.

Güvenlik altına alınması gereken trafik türlerini tanımladınız. Şimdi güvenlik düzeneğini belirtmeniz gerekir. Süzgeç eylemlerini yönet</a0> sekmesini tıklatın. Listelenen üç varsayılan ayarları vardır. Güvenlik Gerektir eylem kullanmak yerine, daha katı olan yeni bir eylem oluşturmanız gerekir.

Yeni eylem oluşturmak için <a0></a0>:
  1. Yeni bir süzgeç eylemi oluşturmak için Ekle ' yi tıklatın. Bir sihirbaz başlatır. Eylem "Şifreleme Abczz" olarak adlandırın.
  2. Genel seçenek, güvenlik anlaşması ' nı tıklatın ve sonra da <a2>ıpsec desteklemeyen bilgisayarlarla iletişim</a2>'ı tıklatın.
  3. IP trafiği güvenliği için yüksek tıklatın seçeneği ve sonra da <a2>Sihirbazı kapatmak için son</a2>'ı tıklatın.
  4. (Bu, daha önce "Şifreleme Abczz" adlı) yeni süzme eylemini çift tıklatın.
  5. Güvenli olmayan iletişimi kabul ederken her zaman ıpsec'i kullanarak yanıt ver onay kutusunu tıklatıp temizleyin. Bu adım, bir Abczz paket gönderilmeden önce bilgisayarları, ıpsec anlaşması gerekir sağlar.
  6. Oturum anahtarı kusursuz iletme gizliliği anahtarı malzemesi yeniden sağlamak, Tamam ' ı tıklatın ve sonra Kapat ' ı tıklatın</a1> seçeneğini tıklatın.

ıpsec ilkesi oluşturma

Ilke öğelerini almış. Artık kendi ilke oluşturabilirsiniz. MMC sağ bölmede sağ tıklatın ve oluşturma, IP güvenlik ilkesi</a1>'ı tıklatın. Sihirbaz başladığında:
  1. Ilke "Gamze'nın ıpsec" olarak adlandırın.
  2. Varsayılan yanıt kuralını etkinleştir</a0> onay kutusunu tıklatıp temizleyin.
  3. Seçili değilse, Özellikleri Düzenle ' yi tıklatın ve sonra sihirbazı kapatın. Ilkenin Özellikler iletişim kutusunu açar.
Çalışmak üzere bir ıpsec ilkesi için bağlanan bir süzme eylemi için bir süzgeç listesini en az bir kural içermesi gerekir.

Kural özellikleri iletişim kutusunda belirtmek için <a0></a0>:
  1. Yeni bir kural oluşturmak için Ekle ' yi tıklatın. Sihirbaz başladığında, Bu kural değil belirttiğiniz bir tünel'ı tıklatın.
  2. Yerel ağ (LAN) için ağ türünü tıklatın.
  3. Tıklatın Windows 2000 varsayılanı (Kerberos V5 iletişim kuralı) iki bilgisayarları Gamze ve Kemal, aynı Windows 2000 etki alanında kimlik doğrulama yöntemi. Değilse, anahtar değişimini (önceden paylaşılan anahtar) korumak için Bu dizeyi kullan ' ı tıklatın ve ardından bir dize (unutmayın ve hataları yapmadan yazın, uzun bir dizeyi kullanın) girin.
  4. Daha önce oluşturduğunuz bir süzgeç listesini seçin. Bu örnekte, "Can'ın bilgisayara Abczz" süzgeç listesidir. Ardından, daha önce oluşturduğunuz bir süzgeç eylemini seçin. Bu örnekte, "Şifreleme Abczz" süzgeç eylemdir.
  5. Sihirbazı tamamlamak ve sonra Kapat ' ı tıklatın.

Diğer bitiş noktaları yapılandırın.

Yineleme ait olduğu bilgisayardaki tüm önceki yordamları için Filiz ait olduğu bir bilgisayara uygulanmış Emre'ye. Gerekli değişiklikleri belirgin, örneğin, "Can'ın bilgisayara Abczz" "Gamze'nın bilgisayara Abczz" değiştirilmelidir.

Ilkeleri atama

Her iki tarafın üzerinde ilkeleri tanımladınız. Şimdi bunları atamanız gerekir:
  1. Yerel güvenlik ayarları MMC içinde (Bu örnekte Abczz) ilkesi'ni sağ tıklatın.
  2. Ata ' yı tıklatın.
Bir defada yalnızca bir ıpsec ilkesi atanabilir, ancak tek bir ilke, istediğiniz sayıda kural olabilir. Örneğin, Gamze gecesi ile farklı bir iletişim kuralı'nı kullanarak güvenli bir iletişim de gerekir, eylemleri ve uygun süzgeç listeleri oluşturmak ve sonra da, belirli bir süzgeç listesi ve süzme eylemi birbirine bağlanan (Gamze için ait olduğu) IPSec için bir kural eklemek sahip. Bu kural için farklı bir paylaşılan anahtarı kullan ' ı tıklatın. Filiz ilkesi, artık iki kural vardır: Abczz için bir Emre ve gecesi ile iletişim için iletişim. Kemal ve gecesi güvenli bir şekilde birbirleriyle iletişim kurmak gerekmediğinden, Kemal için ilke için eklenen herhangi bir şey yok ve gecesi ilkesi Gamze ile iletişim için tek bir kural içeren.

SORUN GİDERME

Kendi ilke sınama için IPSecMon kullanın.

Windows 2000, bir ıpsec güvenlik ilişkisi başarıyla kuruldu olup olmadığını sınamak için kullanabileceğiniz bir yardımcı program (IPSecMon.exe) içerir. IPSecMon başlatmak için <a0></a0>:
  1. Başlat ' ı tıklatın ve sonra da <a2>Çalıştır</a2>'ı tıklatın.
  2. Tür: ipsecmon, ve sonra ENTER tuşuna basın.
  3. Seçenekler ' i tıklatın.
  4. Yenileme aralığı, 1 olarak değiştirin.
Bir son nokta arasında iletişim için diğer kurmalısınız. Şifreleme bilgileri ve güvenlik ilişkilendirmesi tamamlamak için bitiş noktalarını birkaç saniye sürer, çünkü bir gecikme olabilir. Bu davranışı IPSecMon görebilirsiniz. Bitiş noktaları her kendi güvenlik ilişkilendirmesi oluştururken, bu davranış görüntüleyen IPSecMon bir girdi görebilirsiniz.

Oluşturulacak güvenlik ilişkilendirmesi bekler, ancak hiçbir şey olmuyor, geri gidin ve her son noktadaki süzgeç listelerini gözden geçirin. Kolayca kaynak ve hedef adresleri ters veya bağlantı noktalarını tersine çevirmek için kullandığınız iletişim kurallarının doğru tan?mlar?n? aldığınız emin olun. Tüm trafiği belirten yeni bir süzgeç listesi oluşturmayı göz önünde bulundurmak isteyebilirsiniz. Ayrıca, bu süzgeç listesini kullanan ilkeye yeni bir kural eklemek ve varolan bir kuralı devre dışı bırakın. Bu adımları her iki bitiş noktasında. Daha sonra bağlantıyı sınamak için ping komutunu kullanabilirsiniz: ping komutu görüntüleyebilirsiniz "Negotiating IP güvenliği" güvenlik ilişkisi oluşturulduğunda, normal sonuçları sonra görüntü ve güvenlik ilişkilendirmesi aşaması sırasında.

NAT ve ıpsec uyumsuz

Iki bitiş noktaları tüm ağ adresi çevirisi (NAT) ise, ıpsec çalışmaz. Ipsec, yükü bir parçası olarak bitiş adresleri katıştırır. Paketler ağ üzerinde paraçekerken önce paket sağlama toplamlarını hesaplar ıpsec ayrıca kaynak adresleri kullanır. NAT, giden paketlerin kaynak adresi değiştirebilirsiniz ve onu kendi sağlama toplamlarını hesaplar hedef adresi üstbilgisinde kullanır. Özgün kaynak-paketleri içinde gerçekleştirilen bir sağlama toplamı, hedef tarafından hesaplanan sağlama toplamı uyuşmuyor ve hedef paketleri bırak hesaplanır. ıpsec NAT her tür kullanamazsınız aygıt.

Özellikler

Makale numarası: 301284 - Last Review: 29 Mart 2007 Perşembe - Gözden geçirme: 4.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Anahtar Kelimeler: 
kbmt kbhowtomaster KB301284 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:301284

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com