Προεπιλεγμένων εξαιρέσεων IPsec μπορεί να χρησιμοποιηθεί για την παράκαμψη της προστασίας IPsec σε ορισμένες σενάρια

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 811832 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Η δυνατότητα ασφαλείας πρωτοκόλλου Internet (IPsec) στα Windows 2000, Το Windows XP και Windows Server 2003 έχει σχεδιαστεί ως ένα πλήρεις Τείχος προστασίας που βασίζονται στον κεντρικό υπολογιστή. Έχει σχεδιαστεί για να παρέχει βασικές άδεια και μπλοκ Φιλτράρισμα χρησιμοποιώντας πληροφορίες διεύθυνσης, πρωτοκόλλου και θύρας σε πακέτα δικτύου. IPsec επίσης σχεδιάστηκε ως ένα εργαλείο διαχείρισης για τη βελτίωση της ασφάλειας επικοινωνίες με τρόπο που να είναι διαφανής για τα προγράμματα. Έτσι, παρέχει κυκλοφορία φιλτραρίσματος που είναι αναγκαία για να διαπραγματευτούν την ασφάλεια IPsec λειτουργία μεταφοράς ή η λειτουργία σήραγγας IPsec, κυρίως για περιβάλλοντα intranet όπου μηχάνημα αξιοπιστίας ήταν διαθέσιμες από την υπηρεσία του Kerberos ή για συγκεκριμένες διαδρομές στο Internet όπου δημόσιου κλειδιού (PKI) υποδομής ψηφιακών πιστοποιητικών μπορεί να χρησιμοποιηθεί.

Οι απαλλαγές προεπιλεγμένα φίλτρα πολιτικής IPsec τεκμηριώνονται στην ηλεκτρονική Βοήθεια του Microsoft Windows 2000 και Microsoft Windows XP. Τα φίλτρα αυτά καθιστούν δυνατή για την ανταλλαγή κλειδιών Internet (IKE) και Kerberos για η συνάρτηση. Τα φίλτρα επίσης καθιστούν δυνατή ποιότητα υπηρεσίας δικτύου (QoS), για να σηματοδοτηθεί (RSVP), όταν είναι ασφαλής κυκλοφορία δεδομένων από το IPsec και για η κίνηση που IPsec μπορεί να ασφαλίσετε όπως κυκλοφορία πολλαπλής διανομής και ευρείας μετάδοσης. Για περισσότερες πληροφορίες σχετικά με τα φίλτρα, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
253169 Η κυκλοφορία που μπορεί να--και δεν--ασφάλεια από το IPsec

Περισσότερες πληροφορίες

Καθώς IPsec χρησιμοποιείται όλο και περισσότερο για το τείχος προστασίας τον κεντρικό υπολογιστή βασικού φιλτραρίσματος, ιδιαίτερα σε σενάρια Internet εκτίθενται επίδραση των πακέτων Αυτές οι προεπιλεγμένες εξαιρέσεις δεν έχει κατανοητή πλήρως. Έτσι, ορισμένες Διαχειριστές IPsec μπορεί να δημιουργήσετε πολιτικές IPsec που κρίνουν ότι είναι ασφαλής, αλλά δεν είναι πραγματικά ασφαλείς έναντι εισερχόμενων επιθέσεων που χρησιμοποιούν την προεπιλογή εξαιρέσεις.

Η Microsoft συνιστά δικτύου διαχειριστές τα βήματα αυτού του άρθρου για να καταργήσετε το προεπιλεγμένο εξαιρέσεις IPSec. Αυτό Συνιστάται ιδιαίτερα εάν IPsec χρησιμοποιείται σε σενάρια όπου μοιάζει με τείχος προστασίας λειτουργικότητα πρέπει να εμποδίζει εισβολείς να αποκτήσουν πρόσβαση στο δίκτυο για το υπολογιστής. Κατάργηση προεπιλεγμένων εξαιρέσεων για Kerberos για την αποτροπή εισβολείς από αναιρώντας έτσι την προστασία που προορίζονται για που παρέχεται από το IPsec για ορισμένες Ρυθμίσεις παραμέτρων πολιτικής IPsec. Μετά τις εξαιρέσεις καταργούνται υπάρχοντα πολιτικές ασφαλείας ενδέχεται να χρειαστεί να αλλάξει για να σωστά.

Οι διαχειριστές μπορούν να ξεκινήσετε για το σχεδιασμό για όλες αυτές τις αλλαγές νέα και υπάρχοντα αναπτύξεις IPsec χρησιμοποιώντας το
NoDefaultExempt = 1
το κλειδί μητρώου σε όλες τις βασίζεται σε Windows 2000 και τα Windows XP υπολογιστές. Σκοπός αυτού του κλειδιού μητρώου που περιγράφεται παρακάτω σε αυτό το άρθρο.

Ορισμός προεπιλεγμένες εξαιρέσεις IPsec

Ο ακόλουθος πίνακας συνοψίζει τα ισοδύναμα φίλτρα που είναι όταν ενεργοποιούνται όλες τις προεπιλεγμένες εξαιρέσεις IPSec φιλτράρισμα, καθώς από προεπιλογή, ή εάν
NoDefaultExempt
έχει οριστεί σε0.Αυτοί οι ορισμοί φίλτρου περιγράφουν προεπιλεγμένων εξαιρέσεων που είναι εφαρμόζεται το πρόγραμμα οδήγησης IPsec για να επιτρέψετε την κυκλοφορία, ανεξάρτητα από άλλες πολιτικής IPsec φίλτρα. Εργαλεία που έχουν σχεδιαστεί για να εμφανίσετε τις λεπτομέρειες του φίλτρου πολιτικής IPSec δεν Εμφάνιση τις εξαιρέσεις αυτές με τα αποτελέσματά τους.

Ισοδύναμη φίλτρα για
NoDefaultExempt = 0
:
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Διεύθυνση προέλευσηςΠροορισμού ΔιεύθυνσηΠρωτόκολλοΘύρα προέλευσηςΠροορισμού ΘύραΕνέργεια φίλτρου
Η διεύθυνση IPΟποιοδήποτε IP ΔιεύθυνσηUDPΟποιαδήποτε88Άδεια
Οποιαδήποτε διεύθυνση IPIP μου ΔιεύθυνσηUDP88Οποιαδήποτε Άδεια
Οποιαδήποτε διεύθυνση IPΗ διεύθυνση IPUDPΟποιαδήποτε 88Άδεια
Η διεύθυνση IPΟποιοδήποτε IP ΔιεύθυνσηUDP88Οποιαδήποτε Άδεια
Η διεύθυνση IPΟποιαδήποτε διεύθυνση IPTCPΟποιαδήποτε 88Άδεια
Οποιαδήποτε διεύθυνση IPIP μου ΔιεύθυνσηTCP88Οποιαδήποτε Άδεια
Οποιαδήποτε διεύθυνση IPΗ διεύθυνση IPTCPΟποιαδήποτε 88Άδεια
Η διεύθυνση IPΟποιοδήποτε IP ΔιεύθυνσηTCP88Οποιαδήποτε Άδεια
Η διεύθυνση IPΟποιοδήποτε IP ΔιεύθυνσηUDP500500 (1)Άδεια
Οποιαδήποτε διεύθυνση IPIP μου ΔιεύθυνσηUDP500500Άδεια
Η διεύθυνση IPΟποιαδήποτε46 (RSVP)Άδεια
Οποιαδήποτε διεύθυνση IPΗ διεύθυνση IP46 (RSVP)Άδεια
Οποιαδήποτε διεύθυνση IP<multicast>(2)</multicast>Άδεια
IP μου Διεύθυνση<multicast></multicast>Άδεια
Οποιαδήποτε διεύθυνση IP<broadcast>(3)<b00></b00></broadcast>Άδεια
IP μου Διεύθυνση<broadcast></broadcast>Άδεια
<all ipv6="" protocol="" traffic="">(5)</all><all ipv6="" protocol="" traffic="">(4)</all>Άδεια
Όταν καθοριστεί διεύθυνση IP, η μάσκα υποδικτύου είναι 255.255.255.255. Όταν η διεύθυνση IP είναι οποιαδήποτε, η μάσκα υποδικτύου είναι 0.0.0.0.
  1. Για τη λειτουργία μεταφοράς IPSec προς διαπραγμάτευση μέσω μια λειτουργία σήραγγας IPSec SA, κυκλοφορία ISAKMP δεν εξαιρούνται εάν πρέπει να περάσει μέσω του IPSec διοχέτευσης πρώτα.
  2. Κυκλοφορία πολλαπλής διανομής ορίζεται ως κλάσης d περιοχή με ένα 224.0.0.0 με μια 240.0.0.0 περιοχή διεύθυνση προορισμού μάσκα υποδικτύου. Αυτό περιλαμβάνει την περιοχή διευθύνσεων IP από 224.0.0.0 έως 239.255.255.255.
  3. Κυκλοφορία ευρείας μετάδοσης ορίζεται ως διεύθυνση προορισμού 255.255.255.255, περιορισμένη διεύθυνση, εκπομπής ή ως Αναγνωριστικό κεντρικού υπολογιστή τμήμα της διεύθυνσης IP Ορισμός όλων 1s υποδίκτυο μετάδοσης διεύθυνση.
  4. Η IPSec δεν υποστηρίζει φιλτράρισμα για IP έκδοσης 6 (IPv6) πακέτα, εκτός όταν encapsulated των πακέτων IPv6 με μια κεφαλίδα IPv4 ως IP πρωτόκολλο 41. Για περισσότερες πληροφορίες σχετικά με την υποστήριξη IPv6 στα Windows, επισκεφθείτε την ακόλουθη τοποθεσία Web της Microsoft:
    http://technet.Microsoft.com/en-US/Network/bb530961.aspx

Υποστήριξη λειτουργικού συστήματος για NoDefaultExempt

Ο παρακάτω πίνακας περιγράφει τις προεπιλεγμένες συμπεριφορές απαλλαγή σε διάφορες εκδόσεις των Windows 2000 και Windows XP:
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Επίσημη έκδοση, κυκλοφόρησε ΈκδοσηSP1SP2SP3SP4
Τα Windows 2000Έχει προεπιλεγμένων εξαιρέσεων.
NoDefaultExempt
το κλειδί δεν υποστηρίζεται.
Έχει προεπιλεγμένων εξαιρέσεων
NoDefaultExempt
κλειδί υποστηρίζεται, τιμές 0 ή 1.
Έχει προεπιλεγμένων εξαιρέσεων.
NoDefaultExempt
κλειδί υποστηρίζεται, τιμές 0 ή 1.
Έχει προεπιλεγμένων εξαιρέσεων.
NoDefaultExempt
κλειδί υποστηρίζεται, τιμές 0 ή 1.
Προεπιλεγμένες αλλαγές
NoDefaultExempt = 1
που καταργεί απαλλαγές πεζοδρομίου και RSVP.
Τα Windows XPΈχει προεπιλεγμένων εξαιρέσεων
NoDefaultExempt
υποστηρίζεται, τιμές 0 ή 1.
Έχει προεπιλεγμένων εξαιρέσεων
NoDefaultExempt
υποστηρίζεται, τιμές 0 ή 1.
Προεπιλεγμένες αλλαγές
NoDefaultExempt = 1
, που καταργεί απαλλαγές πεζοδρομίου και RSVP.


Σημείωση Η IPSec στα Windows 2000 και Windows XP δεν υποστηρίζει το φιλτράρισμα μετάδοση ή κυκλοφορία πολλαπλής διανομής.

Κατάργηση των προεπιλεγμένων εξαιρέσεων

Το ακόλουθο κλειδί μητρώου ελέγχει τον τύπο των προεπιλεγμένων εξαιρέσεων για την IPsec:
NoDefaultExempt

Τύπος δεδομένων: REG_DWORD
Περιοχή: ποικίλλει:
Τα Windows 2000: υποστηρίζεται μόνο 0-1
Τα Windows XP: 0-1, υποστηρίζεται μόνο
Διακομιστής των Windows 2003: 0-3 υποστηρίζεται μόνο
Προεπιλεγμένη συμπεριφορά (Windows 2000 και Windows XP): 0
Προεπιλεγμένη συμπεριφορά (Windows Server 2003): 3
Υπάρχει από προεπιλογή: όχι
Περιγραφή των πιθανών τιμές:
  • Η τιμή 0 Καθορίζει ότι πολλαπλής διανομής, εκπομπής, RSVP, Kerberos, και IKE Κυκλοφορία (ISAKMP) εξαιρούνται από την εφαρμογή φίλτρων IPSec. Αυτή είναι η προεπιλεγμένη εφαρμογή φίλτρων η συμπεριφορά για Windows 2000 και Windows XP. Χρησιμοποιήστε αυτήν τη ρύθμιση μόνο αν έχετε για συμβατότητα με μια υπάρχουσα πολιτική IPsec ή τα Windows 2000 και Windows XP συμπεριφορά.
  • Η τιμή 1 Καθορίζει ότι δεν είναι εξαίρεση από την κυκλοφορία Kerberos και RSVP Εξαιρούνται τα φίλτρα IPSec, αλλά πολλαπλής διανομής, εκπομπής και κυκλοφορία IKE. Αυτό είναι η συνιστώμενη τιμή για τα Windows 2000 και Windows XP.
  • Η τιμή 2 Καθορίζει ότι δεν απαλλάσσονται κυκλοφορία πολλαπλής διανομής και ευρείας μετάδοσης από IPSec απαλλάσσονται φιλτράρισμα αλλά RSVP, Kerberos, και η κυκλοφορία IKE. Υποστηρίζεται μόνο στον Windows Server 2003.
  • Η τιμή 3 Καθορίζει ότι μόνο η κυκλοφορία IKE απαλλάσσονται από την εφαρμογή φίλτρων IPSec. Υποστηρίζονται μόνο στον Windows Server 2003. Περιέχει αυτό το Windows Server 2003 προεπιλεγμένη συμπεριφορά, παρόλο που το κλειδί μητρώου δεν υπάρχει προεπιλογή.
Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Για να ρυθμίσετε αυτό το κλειδί μητρώου:
  1. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπί Εκτέλεση, Τύπος Regedit, και στη συνέχεια κάντε κλικ στο κουμπί OK.
  2. Κάντε κλικ στο ακόλουθο κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Σημείωση Στα Windows Server 2008 και Windows Vista, το κλειδί μητρώου είναι:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Κάντε δεξιό κλικ IPSEC, έπειτα στην επιλογήΝέα, και στη συνέχεια κάντε κλικ στο κουμπί Η τιμή DWORD.
  4. Το όνομα αυτής της νέας καταχώρησηςNoDefaultExempt.
  5. Αλλάξτε την τιμή της
    NoDefaultExempt
    από το κλειδί 0 Για να 1. Εάν θέλετε να, μπορείτε να χρησιμοποιήσετε μια τιμή εκτός του 1 Εάν μια άλλη τιμή είναι η καλύτερη κατάλληλες για το περιβάλλον σας.
  6. Κλείστε τον Επεξεργαστή μητρώου.
  7. Στα Windows XP, κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπίΠίνακας ελέγχου, και στη συνέχεια κάντε διπλό κλικ Διαχείρισης Εργαλεία. Στα Windows 2000, κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπίΡυθμίσεις, κάντε κλικ στο κουμπί Πίνακας ελέγχου, και στη συνέχεια Κάντε διπλό κλικ Εργαλεία διαχείρισης.
  8. Κάντε διπλό κλικ Υπηρεσίες.
  9. Διακόψτε και, στη συνέχεια, ξεκινήστε πάλι την υπηρεσία IPSec Services. Τα Windows XP απαιτεί επανεκκίνηση του υπολογιστή, αφού το κάνετε.

Επίδραση των προεπιλεγμένων εξαιρέσεων

Το παρακάτω παράδειγμα δείχνει ένα Windows 2000 ή Windows XP IPSec η πολιτική που έχει ρυθμιστεί ως ένα φίλτρο μίας κατεύθυνσης μπλοκ. Τα αποτελέσματα της εφαρμογής ενός μπλοκ φίλτρου με αυτούς τους κανόνες είναι ότι αποκλείεται κάθε εισερχόμενη κυκλοφορία. Αυτό φίλτρο κανόνα παρέχεται μόνο για να αποδείξει το εφέ εξαιρέσεις IPSec με αυτόν τον κανόνα:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
Πρόθεση του διαχειριστή σε αυτό το παράδειγμα είναι ο αποκλεισμός όλων των εισερχόμενων κυκλοφορία unicast που πρόκειται να 10.10.1.2 τη διεύθυνση IP. Το ακόλουθο ενότητες περιγράφουν την επίδραση των προεπιλεγμένων εξαιρέσεων, οι οποίες ισχύουν σε αυτό το φίλτρο.

Επηρεάζουν απαλλαγή IKE

Η απαλλαγή IKE είναι συγκεκριμένη θύρα προέλευσης και προορισμού UDP 500. IKE λαμβάνει πάντα αυτός ο τύπος πακέτου από οποιαδήποτε διεύθυνση προέλευσης εξαιτίας η προεπιλεγμένη απαλλαγή IKE. Μπορεί να είναι δυνατό για έναν εισβολέα να χρησιμοποιήσει το IKE θύρες επιθέσεις IKE ίδιο και ίσως προκαλέσουν προβλήματα. Ωστόσο, η ΙΚΕ θύρες δεν μπορεί να χρησιμοποιηθεί για να επιτεθούν άλλες ανοιχτές θύρες UDP ή TCP. IKE θα εκτελέσει IPsec πολιτική αναζήτησης για να προσδιορίσετε εάν πρέπει να απαντήσετε σε ένα εισερχόμενο πακέτο. Επειδή Χρησιμοποιείται IKE τη διαπραγμάτευση ρυθμίσεων ασφαλείας μεταξύ των δύο κεντρικών υπολογιστών IPSec και IPsec τα φίλτρα χρησιμοποιούνται μόνο για άδεια και θα αποτύχει μπλοκ ελέγχου της κυκλοφορίας, IKE βρείτε μια αντίστοιχη πολιτική ασφαλείας και θα απαντήσει στην εισερχόμενη αιτήσεις.

IKE να χρησιμοποιήσετε διάφορες μεθόδους άρνησης εξυπηρέτησης (DoS) αποφυγή. Τα Windows 2000 Service Pack 3 και τα Windows XP παρέχουν βελτιωμένες DoS αποφυγή σε κατάκλυση επιθέσεις IKE. IKE δεν είναι δυνατό να απενεργοποιηθούν ανεξάρτητα από το Η υπηρεσία IPsec και το πρόγραμμα οδήγησης IPsec. IKE μπορεί να απενεργοποιηθεί μόνο από τη διακοπή της IPsec υπηρεσία η οποία απενεργοποιεί επίσης το φιλτράρισμα IPsec.

Εάν η IKE επιθέσεις από το Internet και δεν είναι απαραίτητο, αλλά απαιτείται η εφαρμογή φίλτρων IPsec, μια Υπάρχουν διάφορες επιλογές:
  • Ένα φίλτρο αποκλεισμού για την κυκλοφορία UDP 500 μπορεί να χρησιμοποιηθεί για την προεπιλεγμένη πύλη ή τείχος προστασίας.
  • Ρύθμιση παραμέτρων TCP/IP για προχωρημένους Ιδιότητες φίλτρου σε το Διασύνδεση Internet. Επιτρέπονται μόνο χρήση και στη συνέχεια προσθέστε απαιτείται εκτός από τις θύρες UDP UDP 500.Για περισσότερες πληροφορίες σχετικά με αυτήν την επιλογή, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    309798 από τηΤρόπος ρύθμισης παραμέτρων TCP/IP filtering στα Windows 2000
    Χρήση του netstat –a Για να δείτε την εντολή Ανοίξτε τις θύρες UDP.
  • Στα Windows XP μπορεί να είναι το τείχος προστασίας σύνδεσης στο Internet (ICF) ενεργοποιημένη στη διασύνδεση Internet για να αποκλείσετε όλη την εισερχόμενη κυκλοφορία. Συγκεκριμένες οπές μπορεί να ρυθμιστεί για θύρες UDP, εκτός από UDP 500.Για περισσότερες πληροφορίες σχετικά με το ICF, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    283673Με τον τρόπο ενεργοποίησης ή απενεργοποίησης του τείχους προστασίας στα Windows XP

Επηρεάζουν απαλλαγή προεπιλογή Kerberos

Με αυτό το παράδειγμα που αποκλείει όλα τα μονόδρομα εισερχόμενη κυκλοφορία, όλα τα μοναδικής διανομής εισερχόμενη ή εξερχόμενη κυκλοφορία Kerberos θα εξαιρούνται από τη συμφωνία Αυτό το φίλτρο. Έτσι, ένας εισβολέας μπορεί να κατασκευάσετε μια unicast UDP ή TCP πακέτο που χρησιμοποιεί θύρα προέλευσης 88 για πρόσβαση σε κάθε άνοιγμα θύρας στο 10.10.1.2. Αυτό μπορεί να δώσει μια σάρωση θύρα UDP και TCP, ακόμα και με το μπλοκ φίλτρου. Το ο διαχειριστής πρέπει να ορίσει το
NoDefaultExempt
το κλειδί μητρώου για να αποτρέψετε επιθέσεις. Εάν ένα δρομολογητή φιλτραρίσματος ή το τείχος προστασίας είναι σε χρήση, μπορεί να ή μπορεί να επιτρέπεται η κυκλοφορία από έναν εισβολέα ανάλογα με τον τρόπο χειρισμού της κυκλοφορίας που χρησιμοποιεί τις θύρες του Kerberos.

Σημείωση Πολλά εργαλεία σάρωσης θύρας εντοπίζουν αυτήν τη συμπεριφορά, επειδή αυτές τα εργαλεία επιτρέπουν ρύθμιση θύρας προέλευσης 88, κατά τον έλεγχο για άνοιγμα θυρών παρουσιάζεται. Σημειώστε επίσης ότι πολλά εργαλεία σάρωσης θύρας αναμένεται ένα μήνυμα ICMP απόκριση καθετήρα που αποστέλλονται σε μια θύρα TCP ή UDP που δεν είναι ανοιχτό. Εάν είναι IPsec αποκλείει την κυκλοφορία ICMP, το εργαλείο σάρωσης ενδέχεται να ψευδής αναφέρει ότι η θύρα είναι Άνοιγμα. Χρησιμοποιήστε ένα ίχνος δικτύου με το εργαλείο Εποπτεία δικτύου για να βεβαιωθείτε ότι το η κυκλοφορία αποστέλλεται και λαμβάνεται στο δίκτυο.

Όταν το Kerberos απαλλαγή καταργείται, και εάν IPsec χρησιμοποιείται επίσης για τη διασφάλιση κυκλοφορίας χρησιμοποιώντας IKE, το ακόλουθο σχέδιο πολιτικής IPsec του ελέγχου ταυτότητας Kerberos πρέπει να ακολουθείται θέματα:
  • Ένας υπολογιστής που χρησιμοποιεί έλεγχο ταυτότητας IKE Kerberos με
    NoDefaultExempt = 1
    δεν είναι δυνατό να επικοινωνήσει με έναν ομότιμο υπολογιστή που χρησιμοποιεί IKE Ο έλεγχος ταυτότητας Kerberos εάν επίσης δεν έχει την ίδια τιμή κλειδιού μητρώου. Χρησιμοποιήστε τον έλεγχο ταυτότητας πιστοποιητικού για IKE αντί του Kerberos όπου είναι απαιτείται.
  • Ρητές εξαιρέσεις για την κυκλοφορία Kerberos και UDP 389 στον και από όλες τις σχετικές DC IP διευθύνσεις πρέπει να καθοριστεί στην πολιτική IPsec. Επειδή Μαρτίου 2003, η Microsoft δεν υποστηρίζει IPsec διασφάλιση της κυκλοφορίας από ένα μέλος τομέα των ελεγκτών τομέα, προσθέσετε φίλτρα πολιτικής IPsec Για να επιτρέψετε ρητά κυκλοφορία όλες τις διευθύνσεις IP του ελεγκτή τομέα. Αυτό ενδέχεται να απαιτούν πολλές επιτρέπουν φίλτρα εάν υπάρχουν πολλές διευθύνσεις IP DC DCs. πρέπει να είναι μόνιμη αντιστοίχιση DCs (στατικές διευθύνσεις IP). Η λίστα φίλτρων για όλους Ελεγκτές τομέα σε έναν τομέα πρέπει να διατηρούνται με μη αυτόματο τρόπο από το διαχειριστή σας για το τρέχουσα λίστα διευθύνσεων IP. Αυτό μπορεί να ενημερωθεί πιο εύκολα από το Εάν το φίλτρο καθορίζει το όνομα DNS του τομέα ως προέλευση το διαχειριστή ή η διεύθυνση προορισμού κατά τη δημιουργία νέου φίλτρου. Αυτό επιλύει το όνομα έναντι DNS όλες τις τρέχουσες διευθύνσεις IP στον τομέα και να δημιουργήσετε τομέα φίλτρα για κάθε επιμέρους IP. Επαληθεύστε τη λίστα διευθύνσεων IP πριν από την χρήση του λίστα φίλτρων στην παραγωγή. Προσθήκη ενός νέου ελεγκτή Τομέα θα απαιτήσει Προσθήκη νέου φίλτρου σε Αυτή η λίστα φίλτρων. Η Microsoft συνιστά χρησιμοποιώντας μία λίστα φίλτρο για όλους τους ελεγκτές τομέα σε ένα συγκεκριμένο τομέα που στη συνέχεια κοινόχρηστες σε κανόνες πολιτικής IPsec. Βεβαιωθείτε ότι έχετε το όνομα της λίστας φίλτρου υποδεικνύει την τελευταία ενημερωμένη έκδοση της λίστας διευθύνσεων IP για εύκολη αναφορά.
Για περισσότερες πληροφορίες σχετικά με την επικοινωνία μεταξύ του τομέα ελεγκτές, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
254949Υποστήριξη IPSec για κυκλοφορία ελεγκτή τομέας υπολογιστή πελάτη και την κυκλοφορία ελεγκτή τομέα ελεγκτή τομέα

Επηρεάζουν RSVP απαλλαγής

Για έναν υπολογιστή που χρησιμοποιεί RSVP, ένας εισβολέας μπορεί να προκαλέσει μια άρνηση εξυπηρέτησης από κατάκλυση ή την αποστολή πακέτων RSVP πλαστογραφημένες ή κακόβουλες σε 10.10.1.2. Αυτή είναι η διεύθυνση IP που χρησιμοποιείται στο προηγούμενο παράδειγμα, και Αυτή η επίθεση θα παρακάμψει το φίλτρο IPsec μονόδρομο εισερχόμενων μπλοκ στο του παράδειγμα.

Το πρωτόκολλο RSVP είναι πρωτόκολλο IP 46. Είναι μια σηματοδότηση πρωτόκολλο που χρησιμοποιείται για να δεσμεύσετε εύρος ζώνης σε δρομολογητές για την κυκλοφορία του προγράμματος.

Η RSVP στα Windows 2000

Τα Windows 2000 χρησιμοποιούν το πρωτόκολλο RSVP κάτω από τα εξής συνθήκες:
  • Εγκατεστημένη υπηρεσία ελέγχου πρόσβασης QoS. Αυτό είναι ένα προαιρετικό στοιχείο δικτύου σε υπολογιστές Windows 2000 Server. Εάν αυτή είναι εγκατάσταση, θα λαμβάνει και στέλνει κυκλοφορία RSVP.
  • Εκτελείται η υπηρεσία RSVP ποιότητας υπηρεσίας (QoS). Από προεπιλογή, αυτή η υπηρεσία έχει εγκατασταθεί και ρυθμιστεί ως υπηρεσία αυτόματη εκκίνηση. Όταν έχει ξεκινήσει, η υπηρεσία φορτώνει το πρόγραμμα Rsvp.exe που χρησιμοποιεί το RSVP πρωτόκολλο και καταργεί τη φόρτωση εάν υπάρχει δεν κυκλοφορίας που απαιτεί RSVP σηματοδότηση. Δυναμικά φορτώνει το πρόγραμμα Rsvp.exe όταν οι υπηρεσίες QoS είναι απαραίτητο.
  • Ένα πρόγραμμα ανοίγει μια υποδοχή με μια επιλογή GQoS υποδοχής. Το RSVP.exe το πρόγραμμα εκτελείται συνεχώς για να διαχειριστείτε σηματοδότησης για την Υποδοχή η κίνηση.
  • Το pathping –r η εντολή χρησιμοποιεί την Πρωτόκολλο RSVP, για να προσδιορίσετε εάν οι δρομολογητές είναι ενεργοποιημένη η RSVP.
Για περισσότερες πληροφορίες σχετικά με τον τρόπο απενεργοποίησης του πρωτοκόλλου RSVP σηματοδότηση, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
247103Τρόπος απενεργοποίησης σηματοδότηση RSVP
Όταν χρησιμοποιείται, την υπηρεσία QoS RSVP αποστολή RSVP σηματοδότηση στην καθορισμένη διασύνδεση.

Η RSVP στα Windows XP

Το πρωτόκολλο RSVP υπό αμφισβήτηση στα Windows XP. Παρόλο που το Ποιότητα υπηρεσίας RSVP υπηρεσίας (QoS) εγκαθίσταται από προεπιλογή, έχει ρυθμιστεί για μη αυτόματη έναρξη. Η υπηρεσία δεν αποστολή ή η επεξεργασία που λάβατε πρωτοκόλλου RSVP τα μηνύματα. Εξακολουθεί να καταχωρεί το πρωτόκολλο RSVP, ώστε η στοίβα TCPIP λαμβάνει IP πακέτα τύπος πρωτοκόλλου 46. Αλλά αυτά τα εισερχόμενα πακέτα απορρίπτονται στη συνέχεια. Εάν το Δεν έχει ξεκινήσει η υπηρεσία QoS RSVP, θα απόθεση της στοίβας πρωτοκόλλου TCP/IP του εισερχόμενο πακέτο RSVP, και στη συνέχεια να στείλετε ένα πακέτο ICMP "μη προσβάσιμος προορισμός" απόκριση.

Τα Windows XP χρησιμοποιούν μόνο το πρωτόκολλο RSVP κατά την pathping –r η εντολή χρησιμοποιεί το πρωτόκολλο RSVP προσδιορισμού Εάν οι δρομολογητές είναι ενεργοποιημένη η RSVP.

Προστασία έναντι RSVP επιθέσεις

Για να ενεργοποιήσετε την IPsec για την προστασία από πιθανές επιθέσεις χρησιμοποιώντας το Πρωτόκολλο RSVP, ο διαχειριστής πρέπει να ορίσει το
NoDefaultExempt = 1
το κλειδί μητρώου για να απενεργοποιήσετε την απαλλαγή RSVP σε IPsec. Αντίθετα, μπορείτε να απενεργοποιήσετε την υπηρεσία QoS RSVP ή απενεργοποίηση RSVP ως πρωτόκολλο.Για περισσότερες πληροφορίες σχετικά με τη διαδικασία έτσι, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
247103Τρόπος απενεργοποίησης σηματοδότηση RSVP
Εάν είναι λειτουργία του πρωτοκόλλου RSVP, απαιτείται, ρητή επιτρέπουν ορίζεται στην πολιτική IPsec για να επιτρέψετε το πρωτόκολλο IP 46 για φίλτρα τις κατάλληλες διευθύνσεις προέλευσης και προορισμού. Επειδή η RSVP προορίζεται για επικοινωνία με δρομολογητές, η Microsoft δεν συνιστά τη χρήση του IPsec για τη διαπραγμάτευση ασφάλεια για RSVP. Σημειώστε ότι RSVP μπορεί επίσης να χρησιμοποιήσετε μια διεύθυνση πολλαπλής διανομής που δεν φιλτράρεται από το IPSec.

Επίδραση της μετάδοσης και πολλαπλής διανομής απαλλαγής

Θα πακέτων με διευθύνσεις προορισμού πολλαπλής διανομής και ευρείας μετάδοσης δεν ταιριάζουν με το φίλτρο εισερχομένων παράδειγμα, επειδή το φίλτρο εισερχομένων έχει ένα διεύθυνση προορισμού για μια συγκεκριμένη διεύθυνση IP (10.10.1.2). Τα Windows 2000 και φίλτρα IPsec των Windows XP δεν καθιστούν δυνατή φίλτρο πολλαπλής διανομής ή κυκλοφορία ευρείας μετάδοσης.

Εάν ένας εισβολέας κατασκευάζει πολλαπλής διανομής ή ευρείας μετάδοσης τα πακέτα και εάν το δίκτυο επιτρέπει αυτά τα πακέτα που λαμβάνονται από το υπολογιστή, ο εισβολέας μπορεί να παρακάμψει το φίλτρο IPsec που χρησιμοποιείται στην προηγούμενη παράδειγμα. Συνήθως, ο εισβολέας θα πρέπει να είναι στο τοπικό υποδίκτυο διεξαγωγή μια επίθεση χρησιμοποιώντας αυτήν την κυκλοφορία, επειδή ο δρομολογητής προεπιλεγμένη πύλη ρύθμιση παραμέτρων θα προωθήσει αυτόκλητη εισερχόμενη πολλαπλής διανομής ή ευρείας μετάδοσης η κίνηση. Σε ορισμένες σχεδιάσεις πολιτικής IPsec που χρησιμοποιούν την επιλογή "με δυνατότητα φίλτρου μη ασφαλής επικοινωνία με υπολογιστή χωρίς IPsec", ένας εισβολέας ίσως μπορέσει Για να χρησιμοποιήσετε εισερχόμενη κυκλοφορία πολλαπλής διανομής ή ευρείας μετάδοσης να προκαλέσει έναν υπολογιστή προορισμού Για να στείλετε απόκριση μοναδικής διανομής. Στη συνέχεια, αυτό θα ενεργοποιεί μια εξερχόμενη διαπραγμάτευσης IKE που θα δημιουργήσετε ένα πακέτο λογισμικού SA και να ανοίξετε τη διαδρομή για έναν εισβολέα να η σύνδεση. Ένας εισβολέας μπορεί να κατασκευάσετε ένα έγκυρο πακέτο TCP, χρησιμοποιώντας ένα πολλαπλό ή διεύθυνση προορισμού για να προσπαθήσετε να παρακάμπτουν τα φίλτρα IPsec εκπομπής. Εάν ένα πρόγραμμα ή εκτελείτε πρωτοκόλλου που να λαμβάνει πακέτα πολλαπλής διανομής ή ευρείας μετάδοσης, οι αιτήσεις ο εισβολέας μπορεί να είναι σε θέση να επικοινωνούν με αυτό το πρόγραμμα εάν ο εισβολέας και το πρόγραμμα χρησιμοποιεί μόνο μετάδοσης και κυκλοφορία πολλαπλής διανομής.

Microsoft συνιστά ότι ο διαχειριστής IPsec συζήτηση ο δρομολογητής και το τείχος προστασίας ρύθμιση παραμέτρων με το διαχειριστή δικτύου για να εξετάσετε περισσότερο το σκοπιμότητα μιας τέτοιας επίθεσης που βασίζεται σε τρέχουσα IPsec πολιτικές.

Επικοινωνία με βάση το πρωτόκολλο TCP απαιτεί χειραψία τριών τρόπο που χρησιμοποιεί την κυκλοφορία IP unicast και επομένως δεν είναι δυνατό να χρησιμοποιήσετε πολλαπλής διανομής ή ευρείας μετάδοσης τύπους κυκλοφορίας. Στα Windows 2000 και Windows XP, τα προγράμματα και υπηρεσίες που χρησιμοποιούν UDP και μη επεξεργασμένες υποδοχές από προεπιλογή λαμβάνει κυκλοφορία ευρείας μετάδοσης εάν αποστέλλεται σε θύρες ότι τα προγράμματα ανοίγουν. Από προεπιλογή, RFC 2644 αναφέρει ότι Άμεση μετάδοση κυκλοφορίας δεν πρέπει να διαβιβάζονται από δρομολογητές. Υπάρχουν δύο άλλοι τύποι κυκλοφορία ευρείας μετάδοσης που μπορεί να χρησιμοποιηθεί από την τοπική σύνδεση:
  • Διεύθυνση εκπομπής περιορισμένης – αυτό είναι αν η διεύθυνση IP προορισμού η διεύθυνση είναι 255.255.255.255.
  • Εκπομπή άμεση πρόθημα δικτύου - αυτό είναι αν το διεύθυνση IP προορισμού είναι x.y.255.255 ή x.y.z.255 με το κατάλληλο δευτερεύον δίκτυο μάσκες.
Προγράμματα συνήθως καθορίζουν τα δικά τους μοντέλο επικοινωνία χρησιμοποιώντας Αυτή η κίνηση. Τυπικά κυκλοφορία πολλαπλής διανομής και ευρείας μετάδοσης χρησιμοποιείται για αρχικά Αναγγελία και να ανακαλύψετε μια υπηρεσία. Στη συνέχεια θα υπολογιστές προέλευσης και προορισμού Χρησιμοποιήστε την κυκλοφορία IP unicast μεταξύ τους διευθύνσεις IP, για να συνεχίσετε την επικοινωνία.

Για να δείτε προγράμματα UDP που θα λάβει την εισερχόμενη κυκλοφορία ευρείας μετάδοσης από προεπιλογή, χρησιμοποιήστε το netstat εντολή:
  • Τα Windows 2000: netstat - a -p UDPΔεν υπάρχει μέθοδος για την εμφάνιση των προγραμμάτων που ανοίγει αυτές θύρες.
  • Τα Windows XP: netstat –ao –p UDP Το -ao ο διακόπτης εμφανίζει το Αναγνωριστικό της διαδικασίας για να εντοπίσετε τα προγράμματα που χρησιμοποιείτε ανοιχτές θύρες.

Ποια προγράμματα μπορούν να λάβουν πολλαπλής διανομής Κυκλοφορία;


Προγράμματα πρέπει να εγγραφείτε ρητά TCPIP στοίβα για να λαμβάνει εισερχόμενη κυκλοφορία πολλαπλής διανομής. Εάν το πρόγραμμα έχει καταχωρηθεί για λήψη Αυτός ο τύπος της κυκλοφορίας, απορρίπτονται τα εισερχόμενα πακέτα πολλαπλής διανομής. Ωστόσο, πολλαπλής διανομής πακέτα μπορούν να απορριφθούν στον προσαρμογέα δικτύου (η πιο κοινή) κατά την miniport, στο επίπεδο IP ή UDP επιπέδου. Οι διαχειριστές πρέπει να ελέγξετε καθορίζουν ποιοι τύποι κυκλοφορία πολλαπλής διανομής είναι δυνατότητα δρομολόγησης μέσω δικτύου αξιολογεί καλύτερα εάν κυκλοφορία πολλαπλής διανομής μπορεί να χρησιμοποιηθεί για να επιτεθούν σε έναν υπολογιστή. Για να Προσδιορίστε ποιες ομάδες πολλαπλής διανομής συνδυάζονται με ένα πρόγραμμα:
  • Τα Windows 2000: δεν υπάρχει διαθέσιμη μέθοδος
  • Τα Windows XP:
    1. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπί Εκτέλεση, πληκτρολογήστε cmd, και στη συνέχεια κάντε κλικ στο κουμπί OK.
    2. Τύπος Εμφάνιση του netsh interface ip σύνδεσμοι, και στη συνέχεια πιέστε το πλήκτρο ENTER.

Χρήση της IPsec με το τείχος προστασίας σύνδεσης στο Internet

Για τα Windows XP, ενδέχεται να καλύτερα το τείχος προστασίας σύνδεσης στο Internet (ICF) πληρούν τις απαιτήσεις ασφαλείας για το φιλτράρισμα της κυκλοφορίας. Φιλτράρετε και να ICF αποκλεισμός εισερχόμενης κυκλοφορίας πολλαπλής διανομής και ευρείας μετάδοσης στο Windows XP SP1. Ωστόσο, το ICF δεν γνωρίζει κυκλοφορίας που προστατεύονται από IPsec AH ή ESP μεταφοράς ή η λειτουργία σήραγγας. Η IPsec είναι σε επίπεδο δικτύου κάτω ICF. IKE τοποθετείται επάνω ICF. Έτσι, το ICF θα πρέπει να επιτρέπουν στατικά IKE (θύρα UDP 500) εισερχομένων, και θα δείτε πρωτόκολλα IPsec AH ή ESP, αλλά η κυκλοφορία TCP ή UDP μετά την IPsec έχει decapsulated σε επεξεργασία παραλαβής. Εάν IPsec αποκλείει την κυκλοφορία, το ICF καταγραφή πακέτων που απορρίφθηκαν θα περιλαμβάνει τα πακέτα το IPsec απορρίπτονται.

Η λειτουργικότητα IPsec μπορεί να συνδυαστεί με το ICF Φιλτράρισμα για σύνθετες φιλτράρισμα συμπεριφορά. Για παράδειγμα, μπορεί να είναι μόνο οι ICF έχει ρυθμιστεί για να ανοίξετε τη θύρα TCP 445 από οποιαδήποτε διεύθυνση IP και ίσως ένα φίλτρο IPsec χρησιμοποιείται για να περιορίσετε περαιτέρω μόνο πακέτα που περιέχουν ένα εσωτερικό subnet ως διεύθυνση προέλευσης. Ένα άλλο παράδειγμα μπορεί να είναι ότι η IPsec έχει ρυθμιστεί για διαπραγμάτευση ασφαλείας για όλη την κυκλοφορία, αλλά περιορίζει τη ρύθμιση ICF τι εισερχόμενες συνδέσεις επιτρέπεται να γίνονται δεκτές, επιτρέποντας μόνο εισερχόμενων IKE (Θύρα UDP 500) και κοινή χρήση (θύρα TCP 445) αρχείων SMB.

Αναφορές

Για περισσότερες πληροφορίες σχετικά με την υλοποίηση TCP/IP, προβάλετε την Λευκή Βίβλος υλοποίηση λεπτομερούς TCP/IP των Windows 2000. Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία Web της Microsoft:
http://technet.Microsoft.com/en-us/library/bb726981.aspx
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια IP, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:
253169Η κυκλοφορία που μπορεί να--και δεν--ασφάλεια από το IPSec
254728 IPSec ασφαλούς κυκλοφορία Kerberos μεταξύ ελεγκτών τομέα
308127 Με τον τρόπο μη αυτόματο άνοιγμα θυρών στο τείχος προστασίας σύνδεσης στο Internet στα Windows XP
810207 Καταργούνται οι προεπιλεγμένων εξαιρέσεων IPSec στα Windows Server 2003

Ιδιότητες

Αναγν. άρθρου: 811832 - Τελευταία αναθεώρηση: Κυριακή, 29 Μαΐου 2011 - Αναθεώρηση: 4.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Λέξεις-κλειδιά: 
kbfirewall kbprb kbinfo kbmt KB811832 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:811832

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com