Les exemptions IPsec par défaut peuvent servir à contourner la protection IPsec dans certains scénarios

Traductions disponibles Traductions disponibles
Numéro d'article: 811832 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

La fonctionnalité de sécurité du protocole Internet (IPsec) dans Windows 2000, Windows XP et Windows Server 2003 n'a pas conçue comme un pare-feu ordinateur hôte complet. Il a été conçu pour fournir base autoriser et bloquer filtrage en utilisant les informations sur le protocole, port et adresse dans les paquets réseau. IPsec a également été conçu comme un outil d'administration pour améliorer la sécurité des communications de façon transparente pour les programmes. De ce fait, il fournit un filtrage du trafic qui est nécessaire pour négocier la sécurité pour IPsec transport mode ou mode tunnel IPsec, principalement dans des environnements intranet dans lesquels l'approbation des ordinateurs est disponible à partir du service Kerberos ou pour des chemins spécifiques sur Internet où les certificats numériques d'infrastructure à clé publique (PKI) peuvent être utilisés.

Les exemptions par défaut aux filtres de stratégie IPsec sont documentées dans l'aide en ligne Microsoft Windows 2000 et Microsoft Windows XP. Ces filtres permettent de IKE (Internet Key Exchange) et Kerberos de la fonction. Les filtres permettent également à la qualité de service réseau (QoS) pour être signalé (RSVP) lorsque le trafic de données est sécurisé par IPsec et pour le trafic qu'IPsec peut non sécurisé tel que le trafic de diffusion et multidiffusion. Pour plus d'informations sur ces filtres, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
253169 Trafic pouvant et ne peut pas--être sécurisé par IPsec

Plus d'informations

Tel qu'IPsec est utilisé plus en plus de filtrage de paquets pare-feu d'ordinateur hôte base, particulièrement dans les scénarios exposées à Internet, l'impact de ces exemptions par défaut n'a pas été entièrement compris. De ce fait, certains administrateurs IPsec peuvent créer des stratégies IPsec qu'ils pensent sont sécurisées, mais ne sont pas réellement sécurisés contre les attaques entrantes qui utilisent les exemptions par défaut.

Microsoft recommande vivement que les administrateurs réseau suivez les étapes de cet article pour supprimer les exemptions par défaut à IPSec. Ceci est particulièrement recommandé si IPsec est utilisé dans les scénarios où les fonctionnalités de pare-feu comme doivent empêcher les pirates de l'accès réseau à l'ordinateur. Supprimez les exemptions par défaut pour Kerberos empêcher les pirates de defeating la protection est destinée à être fournis par IPsec pour certaines configurations de stratégie IPsec. Une fois les exemptions supprimées, les stratégies de sécurité existantes peut-être être modifiés pour fonctionner correctement.

Les administrateurs peuvent commencer à planifier pour ces modifications pour tous les déploiements IPsec nouveaux et existants à l'aide de la
NoDefaultExempt=1
clé de Registre sur tous les ordinateurs fonctionnant sous Windows 2000 et Windows XP. L'objectif de cette clé de Registre est décrite plus loin dans cet article.

Définition d'exemptions IPsec par défaut

Le tableau suivant récapitule les filtres équivalents sont implémentés si toutes les exemptions par défaut le filtrage IPSec sont activées, comme ils le sont par défaut, ou si
NoDefaultExempt
est définie sur 0 .These filtre définitions décrivent les exemptions par défaut qui sont appliquées dans le pilote IPsec pour autoriser le trafic, indépendamment des autres filtres de stratégie IPsec. Outils destinés à montrer les détails de filtre de stratégie IPSec ne pas affichent ces exemptions dans leurs résultats.

Filtre équivalent pour
NoDefaultExempt=0
:
Réduire ce tableauAgrandir ce tableau
Adresse sourceDestination adresseProtocolePort sourcePort de destinationAction de filtrage
Mon adresse IPN'importe quelle adresse IPUDPTout88Autoriser
N'importe quelle adresse IPMon adresse IPUDP88Tout Autoriser
N'importe quelle adresse IPMon adresse IPUDPTout 88Autoriser
Mon adresse IPN'importe quelle adresse IPUDP88Tout Autoriser
Mon adresse IPN'importe quelle adresse IPTCPTout 88Autoriser
N'importe quelle adresse IPMon adresse IPTCP88Tout Autoriser
N'importe quelle adresse IPMon adresse IPTCPTout 88Autoriser
Mon adresse IPN'importe quelle adresse IPTCP88Tout Autoriser
Mon adresse IPN'importe quelle adresse IPUDP500500 (1)Autoriser
N'importe quelle adresse IPMon adresse IPUDP500500Autoriser
Mon adresse IPTout46 (RSVP)Autoriser
N'importe quelle adresse IPMon adresse IP46 (RSVP)Autoriser
N'importe quelle adresse IP<multicast> (2)Autoriser
Mon adresse IP<multicast>Autoriser
N'importe quelle adresse IP<broadcast> (3) Autoriser
Mon adresse IP<broadcast>Autoriser
<Protocole IPv6 tout le trafic > (5)<Tout IPv6 de protocole du trafic > (4)Autoriser
Lorsque l'adresse IP est spécifiée, le masque de sous-réseau est 255.255.255.255. Lorsque l'adresse IP est une, le masque de sous-réseau est 0.0.0.0.
  1. Dans l'ordre pour le mode transport IPSec devant être négociée via un mode de tunnel IPSec SA, le trafic ISAKMP n'est pas exempté s'il doit passer tout d'abord le tunnel IPSec.
  2. Le trafic de multidiffusion est défini comme la classe plage 3D, avec une plage d'adresse de destination 224.0.0.0 avec un 240.0.0.0 masque de sous-réseau. Cela inclut les adresses IP comprise entre 224.0.0.0 et 239.255.255.255.
  3. Le trafic de diffusion est défini comme une adresse de destination de 255.255.255.255, l'adresse de diffusion limitée, ou comme ayant l'ID ordinateur hôte partie de l'adresse IP définie pour toutes les 1, adresse de diffusion du sous-réseau.
  4. IPSec ne prend pas en charge le filtrage de paquets IP version 6 (IPv6), sauf lorsque les paquets IPv6 sont encapsulés avec un en-tête IPv4 comme IP protocole 41. Pour plus d'informations sur la prise en charge de IPv6 dans Windows, site Web Microsoft suivant :
    http://technet.microsoft.com/en-us/network/bb530961.aspx

Prise en charge de système d'exploitation pour NoDefaultExempt

Le tableau suivant décrit les comportements d'exemption par défaut dans les différentes versions de Windows 2000 et Windows XP :
Réduire ce tableauAgrandir ce tableau
Vente au détail, version lancéeSP1SP2SP3SP4
Windows 2000Dispose les exemptions par défaut. clé
NoDefaultExempt
n'est pas prise en charge.
A les exemptions par défaut, la clé
NoDefaultExempt
est pris en charge, valeurs 0 ou 1 .
Dispose les exemptions par défaut. clé
NoDefaultExempt
est pris en charge, les valeurs 0 ou 1 .
Dispose les exemptions par défaut. clé
NoDefaultExempt
est pris en charge, les valeurs 0 ou 1 .
Modifie la valeur par défaut,
NoDefaultExempt=1
qui supprime les exemptions kerb et RSVP.
Windows XPA des exemptions par défaut,
NoDefaultExempt
est pris en charge, valeurs 0 ou 1 .
A des exemptions par défaut,
NoDefaultExempt
est pris en charge, valeurs 0 ou 1 .
Modifie la valeur par défaut,
NoDefaultExempt=1
, qui supprime les exemptions kerb et RSVP.


Remarque IPSec dans Windows 2000 et Windows XP ne prend pas en charge le filtrage de diffusion ou le trafic de multidiffusion.

Suppression des exemptions par défaut

La clé de Registre suivant contrôle le type des exemptions par défaut de IPsec :
NoDefaultExempt

Type de données : REG_DWORD
Plage : varie :
Windows 2000: 0-1 pris en charge uniquement
Windows XP: 0-1 pris en charge uniquement
Windows Server 2003: 0-3 pris en charge uniquement
Valeur par défaut (Windows 2000 et Windows XP): 0
Valeur par défaut (Windows Server 2003): 3
Présente par défaut : non
Description des valeurs possibles :
  • La valeur 0 indique que la multidiffusion, diffusion, RSVP, Kerberos et IKE (ISAKMP) le trafic sont exempts de filtrage IPSec. C'est la valeur par défaut le filtrage de comportement pour Windows 2000 et Windows XP. Utilisez ce paramètre uniquement si nécessaire pour assurer la compatibilité avec une stratégie IPsec existante ou un comportement Windows 2000 et Windows XP.
  • La valeur 1 Spécifie que le trafic Kerberos et RSVP ne sont pas exempté de filtrage IPSec, mais multidiffusion, diffusion et le trafic IKE sont exemptés. La valeur recommandée pour Windows 2000 et Windows XP.
  • Une valeur de 2 Spécifie que le trafic de diffusion et multidiffusion ne sont pas exempté de filtrage IPSec, mais le trafic RSVP, Kerberos et IKE sont exemptés. Prise en charge uniquement dans Windows Server 2003.
  • Une valeur de 3 Spécifie que seul le trafic IKE est exempté de filtrage IPSec. Prise en charge uniquement dans Windows Server 2003. Windows Server 2003 contient ce comportement par défaut bien que la clé de Registre n'existe pas par défaut.
important Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, les problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que ces étapes avec soin. Pour ajouter une protection, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756Comment faire pour sauvegarder et restaurer le Registre de Windows


Pour configurer cette clé de Registre :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez regedit et cliquez sur OK .
  2. Cliquez sur la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Remarque Dans Windows Server 2008 et dans Windows Vista, la clé de Registre est :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Cliquez avec le bouton droit sur IPSEC , pointez sur Nouveau et cliquez sur Valeur DWORD .
  4. Nom de cette nouvelle entrée NoDefaultExempt .
  5. Modifiez la valeur de la clé
    NoDefaultExempt
    à partir de 0 à 1 . Si vous le souhaitez, vous pouvez utiliser une valeur autre que 1 si une autre valeur est adaptée à votre environnement.
  6. Quittez l'Éditeur du Registre.
  7. Dans Windows XP, cliquez sur Démarrer , cliquez sur Panneau de configuration et double-cliquez sur Outils d'administration . Dans Windows 2000 cliquez sur Démarrer , cliquez sur paramètres , cliquez sur Panneau de configuration et double-cliquez sur Outils d'administration .
  8. Double-cliquez sur Services .
  9. Arrêtez et redémarrez le service IPSec Services. Windows XP exige que vous redémarriez l'ordinateur après cela.

Impact des exemptions par défaut

L'exemple suivant montre une stratégie de Windows 2000 ou Windows XP IPSec qui est configurée comme un filtre de blocage à sens unique. Les effets d'appliquer un filtre bloc avec ces règles est que tout le trafic entrant est bloqué. Cette règle de filtrage est fournie uniquement pour montrer l'effet des exemptions IPSec par rapport à cette règle :
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
objectif ?s l'administrateur dans cet exemple est de bloquer le trafic entrant de monodiffusion qui va la 10.10.1.2 adresse. Les sections suivantes décrivent l'effet des exemptions par défaut qui s'appliquent à ce filtre.

Impact de l'exemption IKE

L'exemption IKE est spécifique au port source et de destination UDP 500. IKE reçoit toujours ce type de paquet de n'importe quelle adresse source en raison de l'exemption IKE par défaut. Il est possible qu'un agresseur d'utiliser l'IKE ports attaque IKE elle-même et éventuellement causer des problèmes. Cependant, les ports IKE ne peut pas servir pour attaquer d'autres ports UDP ou TCP. IKE effectuera un IPsec recherche de stratégies pour déterminer si elle doit répondre à un paquet entrant. Étant donné que IKE est utilisé pour négocier les paramètres de sécurité entre deux hôtes IPSec et IPsec filtres sont utilisés uniquement pour autoriser et bloc de contrôle de trafic, IKE échoue trouver une stratégie de sécurité correspondante et ne pas répond aux demandes entrantes.

IKE utiliser diverses méthodes de déni de service (DoS) évitement. Service Pack 3 Windows 2000 et Windows XP fournissent DoS améliorées évitement à IKE d'attaques par saturation. IKE ne peut pas être désactivé indépendamment le service IPsec et le pilote IPsec. IKE ne peut être désactivé en arrêtant l'IPsec service désactive également le filtrage IPsec.

Si IKE est attaqué à partir d'Internet et n'est pas nécessaire, mais le filtrage IPsec est nécessaire, un certain nombre d'options est disponible :
  • Un filtre bloquant pour le trafic UDP 500 peut être utilisé sur la passerelle par défaut ou le pare-feu.
  • Configurer un filtre de propriétés TCP/IP avancées sur l'interface Internet. Utilisez Autoriser seulement, puis ajoutez les ports UDP requis autres que UDP 500. Pour plus d'informations sur l'utilisation de cette option, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
    309798Comment configurer le filtrage dans Windows 2000
    Utilisez la commande netstat ? a pour voir ouvrir les ports UDP.
  • Sur Windows XP le pare-feu de connexion Internet (ICF) peut être activé sur l'interface Internet pour bloquer le trafic entrant. Trous spécifiques peuvent être configurés pour les ports UDP autres que UDP 500.Pour plus d'informations sur le pare-feu Windows, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
    283673Comment faire pour activer ou désactiver le pare-feu dans Windows XP

Effet d'exemption par défaut de Kerberos

Avec cet exemple qui bloque tout le trafic entrant à sens unique, monodiffusion entrant ou sortant tout le trafic Kerberos serait exempter de correspondant à ce filtre. De ce fait, un attaquant peut bâtir un paquet monodiffusion UDP ou TCP utilise le port source 88 pour accéder à n'importe quel port ouvert à 10.10.1.2. Cela permet une analyse des ports UDP et TCP, même avec le filtre de blocage. L'administrateur doit définir la clé de Registre
NoDefaultExempt
pour empêcher les attaques. Si un routeur de filtrage ou un pare-feu est utilisé, il peut ou peut autorise pas ce trafic à partir d'un attaquant, selon la façon dont il traite le trafic qui utilise les ports Kerberos.

Remarque De nombreux outils d'analyse port ne détectent pas ce problème étant donné que ces outils ne permettent pas affectant le port source 88 lors de la vérification des ports ouverts. Notez également que de nombreux outils d'analyse port attendent un message ICMP en réponse à une interrogation est envoyée à un port TCP ou UDP n'est pas ouvert. Si IPsec bloque le trafic ICMP, l'outil analyse peut signaler à tort que le port est ouvert. Utiliser une trace réseau avec l'outil Moniteur réseau pour vous assurer que le trafic est envoyé et reçu sur le réseau.

Lorsque le Kerberos exemption est supprimée et si IPsec est également utilisé pour sécuriser le trafic en utilisant l'authentification Kerberos dans IKE, les considérations de conception de stratégie IPsec suivantes doivent être respectées :
  • Un ordinateur qui utilise l'authentification IKE Kerberos avec
    NoDefaultExempt=1
    ne peut pas communiquer avec un ordinateur homologue qui utilise l'authentification IKE Kerberos si elle aussi n'est la même valeur de clé de Registre. Utilisez l'authentification par certificat pour IKE au lieu de Kerberos où cela est nécessaire.
  • Exemptions explicites pour le trafic Kerberos et UDP 389 à et à partir de toutes les adresses IP de contrôleur de domaine appropriés doivent être spécifiées dans la stratégie IPsec. Étant donné que de mars 2003, Microsoft ne prend pas en charge IPsec sécuriser le trafic à partir d'un membre de domaine sur ses contrôleurs de domaine, ajouter les filtres à la stratégie IPsec pour autoriser explicitement tout le trafic vers les adresses IP du contrôleur de domaine. Cela peut nécessiter que plusieurs filtres d'autorisation s'il existe plusieurs adresses IP du contrôleur de domaine contrôleurs de domaine. doivent être attribuées définitivement sur les contrôleurs de domaine (adresses IP statiques). La liste de filtres pour tous les contrôleurs de domaine dans un domaine doit être gérée manuellement par l'administrateur pour que la liste actuelle des adresses IP. Cela peut être plus facilement mis à jour par l'administrateur si le filtre spécifie le nom DNS du domaine que l'adresse source ou destination lors de la création d'un nouveau filtre. Cela résout le nom de domaine dans DNS à toutes les adresses IP en cours dans le domaine et créer des filtres pour chaque IP individuel. Vérifiez la liste adresse IP avant d'utiliser la liste de filtres dans production. Ajout d'un nouveau contrôleur de domaine nécessitent l'ajout d'un nouveau filtre dans cette liste de filtres. Microsoft recommande d'utiliser une liste de filtres pour tous les contrôleurs de domaine dans un domaine particulier qui est partagé puis sur règles de stratégie IPsec. Assurez-vous que le nom de filtre la liste indique le mise à jour heure du dernier de la liste d'adresses IP à référencer.
Pour plus d'informations sur la communication entre les contrôleurs de domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
254949Prise en charge IPSec pour le trafic client à contrôleur et le trafic de contrôleur de domaine domaine

Effet de RSVP exemption

Pour un ordinateur qui utilise RSVP, un attaquant pourrez provoquer un déni de service par saturation ou envoyant des paquets RSVP usurpés ou malveillantes à 10.10.1.2. Ceci est l'adresse IP qui est utilisé dans l'exemple précédent et cette attaque permettrait de contourner le filtre IPsec bloc entrante à sens unique dans l'exemple.

Le protocole RSVP est protocole IP 46. Il est un protocole de signalisation qui permet de réserver la bande passante dans les routeurs pour le trafic de programme.

RSVP dans Windows 2000

Windows 2000 utilise le protocole RSVP dans les circonstances suivantes :
  • Le service de contrôle d'admission QoS est installé. Ceci est un composant réseau facultatif sur les ordinateurs Windows 2000 Server. Si cela est installé, il reçoit et envoie deux types de trafic.
  • Le service RSVP de qualité de service (QoS) s'exécute. Par défaut, ce service est installé et configuré comme un service de démarrage automatique. Lorsqu'il est démarré, il charge le programme RSVP.exe qui utilise le RSVP protocole, puis décharge si il y n'a aucun trafic nécessite RSVP de signalisation. Il charge le programme RSVP.exe dynamiquement lorsque des services QoS sont nécessaires.
  • Un programme ouvre un socket avec une option de socket GQoS. Le programme RSVP.exe s'exécute en continu pour gérer la signalisation pour le trafic de socket.
  • La commande pathping ? r utilise le protocole RSVP pour déterminer si les routeurs sont RSVP activé.
Pour plus d'informations désactiver le protocole RSVP de signalisation, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
247103Comment faire pour désactiver la signalisation RSVP
Lorsqu'elle est utilisée, le service QoS RSVP n'envoie pas sur l'interface spécifiée de signalisation RSVP.

RSVP dans Windows XP

Le protocole RSVP a été désapprouvé dans Windows XP. Bien que le service RSVP de qualité de service (QoS) est installé par défaut, il est configuré pour un démarrage manuel. Le service de ne pas envoyer ou traiter les messages de protocole RSVP reçues. Il enregistre toujours le RSVP protocole afin que la pile TCP/IP reçoit IP 46 les paquets de type de protocole. Mais ces paquets entrants sont ensuite ignorés. Si le service QoS RSVP n'est pas démarré, la pile TCP/IP va supprimer le paquet RSVP entrant et puis envoyer un paquet ICMP «destination inaccessible» en réponse.

Windows XP utilise uniquement le protocole RSVP lorsque la commande pathping ? r utilise le protocole RSVP pour déterminer si les routeurs sont RSVP activé.

Protection contre les RSVP attaques

Pour activer IPsec pour protéger contre les attaques potentielles en utilisant le protocole RSVP, l'administrateur doit définir la
NoDefaultExempt=1
clé à désactiver l'exemption RSVP dans IPsec. Au lieu de cela, vous pouvez désactiver le service QoS RSVP ou désactiver RSVP en tant que protocole.Pour plus d'informations pour ce faire, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
247103Comment faire pour désactiver la signalisation RSVP
RSVP protocole opération est requise, filtres d'autorisation explicite peuvent être définis dans la stratégie IPsec pour autoriser le protocole IP 46 vers les adresses source et de destination appropriées. La mesure où RSVP est conçu pour communiquer avec des routeurs, Microsoft déconseille l'utilisation d'IPsec pour négocier la sécurité pour RSVP. Notez que RSVP peut-être également utiliser une adresse de multidiffusion qui ne peut pas être filtrée par IPSec.

Impact de la diffusion et multidiffusion exemption

Paquets avec des adresses de multidiffusion et diffusion destination ne correspondent pas exemple entrant car le filtre entrant a une adresse de destination d'une adresse IP monodiffusion spécifique (10.10.1.2). Windows 2000 et Windows XP IPsec filtrage ne pas rendent possible filtrer le trafic multidiffusion ou diffusion.

Si un attaquant construit des paquets de multidiffusion ou diffusion et si le réseau permet à ces paquets soient reçus par l'ordinateur, l'intrus peut contourner le filtre IPsec qui est utilisé dans l'exemple précédent. En général l'aurait sur le sous-réseau local pour mener une attaque en utilisant ce trafic, car la configuration de routeur de passerelle par défaut ne pas transférer de trafic entrant non sollicité multidiffusion ou diffusion. Dans certains modèles de stratégie IPsec qui utilisent l'option filtre ? Autoriser non sécurisées communication avec un ordinateur non-IPsec respectez, un attaquant peut-être utiliser la multidiffusion ou le trafic de diffusion entrant pour un ordinateur de destination envoyer une réponse de monodiffusion. Cela déclenche ensuite une négociation IKE sortante qui va créer un paquet de SA Soft et ouvrir le chemin d'accès au pirate de se connecter. Un attaquant peut construire un paquet TCP non valide en utilisant une adresse de multidiffusion ou diffusion destination pour tenter de contourner les filtres IPsec. Si un programme ou un protocole qui exécute des demandes à recevoir des paquets de multidiffusion ou diffusion, l'attaquant peut pouvoir communiquer avec ce programme si l'attaquant et le programme utilisent uniquement le trafic de diffusion et multidiffusion.

Microsoft recommande que l'administrateur IPsec aborder la configuration du routeur et du pare-feu avec l'administrateur réseau pour mieux étudier la faisabilité d'une telle attaque qui repose sur IPsec en cours stratégies.

LES communications basées sur le protocole TCP requiert une négociation à trois voies qui utilise le trafic IP monodiffusion et par conséquent ne pouvez pas utiliser les types de trafic multidiffusion ou diffusion. Dans Windows 2000 et Windows XP, les programmes et services qui utilisent UDP et les sockets bruts par défaut recevoir le trafic de diffusion si elle est envoyée à ports que les programmes ouverts. Par défaut, états de RFC 2644 dirigé le trafic de diffusion ne doivent pas être transférés par les routeurs. Il existe deux autres types de trafic de diffusion peut être utilisé à partir du lien local :
  • Adresse de diffusion limitée ? il s'agit de si l'adresse IP destination adresse est 255.255.255.255.
  • Réseau préfixe Directed diffusion - c'est si l'adresse IP de destination x.y.255.255 ou x.y.z.255 avec les masques de sous-réseau approprié.
Programmes définissez généralement leur propre modèle de communication en utilisant ce trafic. En général le trafic de diffusion et multidiffusion est utilisé pour annoncer initialement et découvrez un service. Puis, les ordinateurs source et de destination utilise le trafic monodiffusion IP entre leurs adresses IP pour continuer la communication.

Pour afficher les programmes UDP qui recevra le trafic de diffusion par défaut, utilisez la commande netstat :
  • Windows 2000 : netstat-a -p UDP il n'existe aucune méthode pour afficher les programmes d'ouvrir ces ports.
  • Windows XP: netstat ?ao p UDP la -ao commutateur affiche l'ID de processus pour identifier les programmes qui utilisent des ports ouverts.

Les programmes peuvent recevoir du trafic multidiffusion ?


Programmes doivent inscrire explicitement avec la pile TCP/IP afin de recevoir du trafic multidiffusion entrant. Si le programme n'a pas inscrit pour recevoir ce type de trafic, les paquets de multidiffusion entrants sont supprimés. Toutefois, les paquets de multidiffusion peuvent être supprimées à la carte réseau (le plus commun), en le miniport, la couche IP ou la couche UDP. Les administrateurs doivent Vérifiez quels types de trafic de multidiffusion sont routables via le réseau afin de mieux déterminer si le trafic de multidiffusion peut être utilisé pour attaquer un ordinateur. Pour déterminer quel multidiffusion groupes ont été joint par un programme :
  • Windows 2000 : aucune méthode
  • Windows XP :
    1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez cmd et cliquez sur OK .
    2. Tapez netsh interface ip show joins et appuyez sur ENTRÉE.

L'utilisation de IPsec avec le pare-feu Windows

Pour Windows XP, le pare-feu de connexion Internet (ICF) peut mieux critères sécurité pour le filtrage du trafic. ICF filtre et peut bloquer entrant le trafic multidiffusion et diffusion dans Windows XP SP1. Toutefois, le pare-feu Windows n'est pas conscient de trafic qui est protégé par IPsec AH ou ESP en mode transport ou tunnel. IPsec est dans la couche réseau sous le pare-feu Windows. IKE constitue la couche au-dessus de ICF. De ce fait, le pare-feu Windows doit autoriser statiquement IKE (UDP port 500) entrant et ne verrez pas les protocoles AH ou ESP IPsec, mais le trafic TCP ou UDP après IPsec decapsulated dans le traitement de réception. Si IPsec bloque le trafic, le journal de paquet ICF supprimé ne contiendra pas les paquets IPsec ignorée.

Fonctionnalité IPsec peut être combinée avec ICF filtrage pour le comportement de filtrage avancé. Par exemple, ICF peut uniquement être configuré pour ouvrir le port TCP 445 à partir de n'importe quelle adresse IP et un filtre IPsec peut être utilisé pour restreindre ce seulement les paquets contenant un sous-réseau interne comme adresse source. Un autre exemple peut être que IPsec est configuré pour négocier la sécurité pour tout le trafic, mais la configuration ICF restreint les connexions entrantes sont autorisées à être accepté, autorisant uniquement entrant IKE (UDP port 500) et fichier SMB partage (port TCP 445).

Références

Pour plus d'informations sur l'implémentation TCP/IP, consultez le livre blanc Windows 2000 TCP/IP détaillée implémentation. Pour ce faire, site Web Microsoft suivant :
http://technet.microsoft.com/en-us/library/bb726981.aspx
Pour plus d'informations sur IPSec, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la base de connaissances Microsoft :
253169Trafic pouvant--et ne peut pas--être sécurisé par IPSec
254728Trafic Kerberos entre les contrôleurs de domaine non ne sécurisé par IPSec
308127Comment ouvrir manuellement des ports dans le pare-feu de connexion Internet dans Windows XP
810207Exemptions par défaut IPSec sont supprimées dans Windows Server 2003

Propriétés

Numéro d'article: 811832 - Dernière mise à jour: vendredi 8 février 2008 - Version: 7.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows XP Professional
Mots-clés : 
kbmt kbfirewall kbprb kbinfo KB811832 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 811832
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com