IPsec standar pengecualian dapat digunakan untuk memotong IPsec perlindungan dalam beberapa skenario

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 811832 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Fitur keamanan protokol Internet (IPsec) di Windows 2000, Windows XP dan Windows Server 2003 tidak dirancang sebagai berfitur lengkap berbasis host firewall. Ini dirancang untuk memberikan izin dasar dan blok penyaringan dengan menggunakan alamat, protokol dan port informasi dalam paket jaringan. IPsec juga dirancang sebagai alat administratif untuk meningkatkan keamanan komunikasi dengan cara yang transparan untuk program. Karena dari ini, ini menyediakan lalu lintas penyaringan yang diperlukan untuk menegosiasikan keamanan IPsec mode transportasi atau IPsec terowongan mode, terutama untuk intranet lingkungan di mana mesin kepercayaan yang tersedia dari layanan Kerberos atau untuk jalan tertentu di Internet di mana publik kunci sertifikat digital infrastruktur (PKI) dapat digunakan.

Pengecualian default IPsec kebijakan filter yang didokumentasikan dalam Microsoft Windows 2000 dan Microsoft Windows XP bantuan online. Filter ini memungkinkan untuk Internet Key Exchange (IKE) dan Kerberos untuk fungsi. Filter juga memungkinkan untuk jaringan Quality of Service (QoS) harus ditandai (RSVP) ketika lalu lintas data dijamin oleh IPsec, dan untuk lalu lintas yang IPsec mungkin tidak aman seperti multicast dan siaran lalu lintas. Untuk informasi lebih lanjut tentang filter ini, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
253169 Lalu lintas yang dapat - dan tidak - dijamin dengan IPsec

INFORMASI LEBIH LANJUT

Sebagai IPsec semakin digunakan untuk dasar host-firewall paket penyaringan, terutama di Internet yang terkena skenario, mempengaruhi dari pengecualian default ini tidak telah sepenuhnya dipahami. Karena dari ini, beberapa IPsec administrator dapat membuat IPsec kebijakan yang mereka pikir aman, tetapi tidak benar-benar aman terhadap serangan inbound yang menggunakan default pengecualian.

Microsoft sangat menganjurkan bahwa jaringan administrator mengambil langkah-langkah dalam artikel ini untuk menghapus pengecualian default untuk IPSec. Ini terutama disarankan jika IPsec digunakan dalam skenario di mana seperti firewall fungsi harus mencegah penyerang mendapatkan akses jaringan komputer. Menghapus pengecualian default untuk Kerberos untuk mencegah penyerang dari mengalahkan perlindungan yang dimaksudkan untuk dapat disediakan oleh IPsec tertentu IPsec kebijakan konfigurasi. Setelah pengecualian dibuang, ada kebijakan keamanan harus diubah untuk bekerja dengan benar.

Administrator dapat mulai untuk merencanakan perubahan ini untuk semua penyebaran IPsec sudah ada dan yang baru dengan menggunakan
NoDefaultExempt = 1
kunci registri pada semua berbasis Windows 2000 dan Windows XP berbasis komputer. Tujuan kunci registri ini dideskripsikan belakangan pada ini artikel.

Definisi IPsec Default pengecualian

Tabel berikut memberikan ringkasan setara filter yang dilaksanakan jika semua standar pengecualian untuk IPSec penyaringan diaktifkan, sebagai mereka secara default, atau jika
NoDefaultExempt
diatur ke0.Definisi penyaring ini menggambarkan pengecualian default yang diterapkan pada IPsec driver untuk mengizinkan lalu lintas, terlepas dari kebijakan IPsec lain filter. Alat-alat yang dirancang untuk menunjukkan rincian filter kebijakan IPSec tidak Tampilkan tersebut dalam hasil mereka.

Filter yang setara untuk
NoDefaultExempt = 0
:
Perkecil tabel iniPerbesar tabel ini
Alamat sumberTujuan AlamatProtokolSumber PortTujuan PelabuhanPenyaring tindakan
Alamat IP sayaSetiap IP AlamatUDPSetiap88Ijin
Alamat IPIP saya AlamatUDP88Setiap Ijin
Alamat IPAlamat IP sayaUDPSetiap 88Ijin
Alamat IP sayaSetiap IP AlamatUDP88Setiap Ijin
Alamat IP sayaAlamat IPTCPSetiap 88Ijin
Alamat IPIP saya AlamatTCP88Setiap Ijin
Alamat IPAlamat IP sayaTCPSetiap 88Ijin
Alamat IP sayaSetiap IP AlamatTCP88Setiap Ijin
Alamat IP sayaSetiap IP AlamatUDP500500 (1)Ijin
Alamat IPIP saya AlamatUDP500500Ijin
Alamat IP sayaSetiap46 (RSVP)Ijin
Alamat IPAlamat IP saya46 (RSVP)Ijin
Alamat IP<multicast>(2)</multicast>Ijin
IP saya Alamat<multicast></multicast>Ijin
Alamat IP<broadcast>(3)<b00></b00></broadcast>Ijin
IP saya Alamat<broadcast></broadcast>Ijin
<all ipv6="" protocol="" traffic="">(5)</all><all ipv6="" protocol="" traffic="">(4)</all>Ijin
Ketika alamat IP tertentu, subnet mask adalah 255.255.255.255. Ketika alamat IP apapun, subnet mask adalah 0.0.0.0.
  1. Dalam rangka untuk mode transportasi IPSec dinegosiasikan melalui IPSec terowongan modus SA, ISAKMP lalu lintas tidak dibebaskan jika perlu untuk lulus melalui IPSec tunnel pertama.
  2. Lalu-lintas multicast didefinisikan sebagai kelas d rentang, dengan kisaran alamat tujuan dari 224.0.0.0 dengan 240.0.0.0 subnet mask. Ini termasuk kisaran alamat IP dari 224.0.0.0 untuk 239.255.255.255.
  3. Lalu-lintas siaran didefinisikan sebagai alamat tujuan 255.255.255.255, terbatas siaran alamat, atau memiliki host ID bagian dari alamat IP yang ditetapkan untuk semua 1s, subnet yang disiarkan alamat.
  4. IPSec tidak mendukung penyaringan untuk IP versi 6 (IPv6) paket, kecuali ketika paket IPv6 dikemas dengan header IPv4 sebagai IP protokol 41. Untuk informasi lebih lanjut tentang dukungan IPv6 pada Windows, kunjungi Web site Microsoft berikut:
    http://technet.Microsoft.com/en-US/Network/bb530961.aspx

Sistem operasi dukungan untuk NoDefaultExempt

Tabel berikut menjelaskan perilaku pembebasan standar dalam berbagai rilis Windows 2000 dan Windows XP:
Perkecil tabel iniPerbesar tabel ini
Eceran, dirilis VersiSP1SP2SP3SP4
Windows 2000Memiliki standar pengecualian.
NoDefaultExempt
kunci tidak didukung.
Memiliki standar pengecualian,
NoDefaultExempt
kunci didukung, nilai-nilai 0 atau 1.
Memiliki standar pengecualian.
NoDefaultExempt
kunci didukung, nilai-nilai 0 atau 1.
Memiliki standar pengecualian.
NoDefaultExempt
kunci didukung, nilai-nilai 0 atau 1.
Perubahan standar,
NoDefaultExempt = 1
yang menghapus trotoar dan RSVP pengecualian.
Windows XPMemiliki standar pengecualian,
NoDefaultExempt
didukung, nilai-nilai 0 atau 1.
Memiliki standar pengecualian,
NoDefaultExempt
didukung, nilai-nilai 0 atau 1.
Perubahan standar,
NoDefaultExempt = 1
, yang menghilangkan trotoar dan RSVP pengecualian.


Catatan IPSec di Windows 2000 dan Windows XP tidak mendukung penyaringan siaran atau multicast lalu lintas.

Penghapusan pengecualian Default

Kunci registri berikut mengontrol jenis pengecualian default untuk IPsec:
NoDefaultExempt

Tipe data: REG_DWORD
Kisaran: bervariasi:
Windows 2000: 0-1 didukung hanya
Windows XP: 0-1 didukung hanya
Windows Server 2003: 0-3 didukung hanya
Perilaku default (Windows 2000 dan Windows XP): 0
Perilaku default (Windows Server 2003): 3
Hadir secara default: tidak ada
Deskripsi mungkin nilai-nilai:
  • Nilai 0 menentukan bahwa multicast, siaran, RSVP, Kerberos dan IKE Lalu lintas (ISAKMP) dibebaskan dari IPSec penyaringan. Ini adalah default penyaringan perilaku untuk Windows 2000 dan Windows XP. Gunakan pengaturan ini hanya jika Anda harus untuk kompatibilitas dengan ada IPsec kebijakan atau Windows 2000 dan Windows XP perilaku.
  • Nilai 1 menentukan bahwa Kerberos dan RSVP lalu lintas tidak dibebaskan dari IPSec penyaringan, tapi multicast, siaran, dan IKE lalu lintas yang dibebaskan. Ini adalah nilai yang disarankan untuk Windows 2000 dan Windows XP.
  • Nilai 2 menentukan bahwa multicast dan siaran lalu lintas tidak dibebaskan dari IPSec penyaringan, tapi RSVP, Kerberos, dan IKE lalu lintas yang dibebaskan. Didukung hanya pada Windows Server 2003.
  • Nilai 3 menunjukkan bahwa hanya IKE lalu lintas dibebaskan dari IPSec penyaringan. Didukung hanya pada Windows Server 2003. Windows Server 2003 berisi ini standar perilaku meskipun kunci registri tidak ada default.
Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows


Untuk mengkonfigurasi registri kunci ini:
  1. Klik Mulai, klik Menjalankan, jenis regedit, lalu klik Oke.
  2. Klik kunci registri berikut ini:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Catatan Pada Windows Server 2008 dan Windows Vista, kunci registri adalah:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Klik kanan IPSEC, arahkan keBaru, lalu klik Nilai DWORD.
  4. Nama ini entri baruNoDefaultExempt.
  5. Mengubah nilai
    NoDefaultExempt
    kunci dari 0 untuk 1. Jika Anda ingin, Anda dapat menggunakan nilai lain dari 1 Jika nilai lain terbaik cocok untuk lingkungan Anda.
  6. Tutup Penyunting Registri.
  7. Di Windows XP, klik Mulai, klikControl Panel, kemudian klik dua kali Administratif Alat. Klik Windows 2000 Mulai, klikTataan, klik Control Panel, dan kemudian Klik dua kali Alat administratif.
  8. Klik dua kali Layanan.
  9. Berhenti, dan kemudian restart layanan IPSec layanan. Windows XP memerlukan bahwa Anda me-restart komputer setelah Anda melakukannya.

Mempengaruhi pengecualian Default

Contoh berikut menunjukkan Windows 2000 atau Windows XP IPSec kebijakan yang dikonfigurasi sebagai penyaring blok satu arah. Efek menerapkan blok filter dengan aturan-aturan ini adalah bahwa semua lalu lintas masuk diblokir. Ini Aturan Penyaring disediakan hanya untuk menunjukkan efek pengecualian IPSec terhadap aturan ini:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
Administrator maksud dalam contoh ini adalah untuk memblokir semua masuk unicast trafik yang akan 10.10.1.2 alamat IP. Berikut bagian menggambarkan mempengaruhi pengecualian default seperti mereka berlaku untuk ini penyaring.

Mempengaruhi IKE pembebasan

IKE pembebasan khusus untuk sumber dan tujuan port UDP 500. IKE selalu menerima jenis paket dari alamat sumber karena default IKE pembebasan. Mungkin bagi penyerang menggunakan IKE port untuk menyerang IKE itu sendiri, dan mungkin menyebabkan masalah. Namun, IKE port tidak dapat digunakan untuk menyerang Port TCP atau UDP lain terbuka. IKE akan melakukan IPsec kebijakan lookup untuk menentukan jika itu harus membalas paket yang masuk. Karena IKE digunakan untuk bernegosiasi pengaturan keamanan antara dua host IPSec, dan IPsec Penyaring digunakan hanya untuk izin dan blok kontrol lalu lintas, IKE akan gagal untuk menemukan kebijakan keamanan yang cocok, dan tidak akan menjawab untuk masuk permintaan.

IKE menggunakan berbagai metode denial of service (DoS) penghindaran. Windows 2000 Paket Layanan 3 dan Windows XP memberikan peningkatan DoS penghindaran untuk IKE banjir serangan. IKE tidak dapat dinonaktifkan independen dari Layanan IPsec dan sopir IPsec. IKE hanya dapat dinonaktifkan dengan menghentikan IPsec layanan yang juga menonaktifkan penyaringan IPsec.

Jika IKE sedang menyerang dari Internet dan tidak diperlukan, tetapi IPsec penyaringan yang diperlukan, beberapa pilihan tersedia:
  • Memblokir filter untuk UDP 500 lalu lintas dapat digunakan pada default gateway atau firewall.
  • Mengkonfigurasi penyaring lanjutan properti TCP/IP pada Internet antarmuka. Izin hanya menggunakan, dan kemudian menambahkan port UDP diperlukan Selain UDP 500.Untuk informasi lebih lanjut tentang menggunakan pilihan ini, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    309798Cara mengkonfigurasi TCP/IP penyaringan pada Windows 2000
    Penggunaan netstat a perintah untuk melihat membuka port UDP.
  • Pada Windows XP Firewall Sambungan Internet (ICF) dapat diaktifkan pada antarmuka Internet untuk memblokir semua lalu lintas masuk. Lubang tertentu dapat dikonfigurasi untuk UDP port selain UDP 500.Untuk informasi lebih lanjut tentang ICF, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    283673Cara mengaktifkan atau menonaktifkan firewall pada Windows XP

Mempengaruhi Kerberos Default pembebasan

Dengan contoh ini yang blok semua satu arah lalu inbound lintas, semua inbound atau outbound unicast Kerberos lalu lintas akan dibebaskan dari pencocokan filter ini. Because of this, seorang penyerang dapat membangun unicast TCP atau UDP paket yang menggunakan sumber port 88 untuk mengakses semua port terbuka di 10.10.1.2. Ini akan mengaktifkan port UDP dan TCP scan, bahkan dengan filter blok. The Administrator harus menetapkan
NoDefaultExempt
kunci registri untuk mencegah serangan. Jika router penyaringan atau Firewall ini digunakan, itu mungkin atau mungkin tidak memungkinkan seperti lalu lintas dari penyerang, tergantung pada bagaimana menangani lalu lintas yang menggunakan port Kerberos.

Catatan Banyak alat-alat scan port tidak mendeteksi perilaku ini karena ini alat tidak memungkinkan pengaturan sumber port untuk 88 ketika cek untuk membuka port terjadi. Juga mencatat bahwa banyak alat-alat scan pelabuhan mengharapkan pesan ICMP sebagai tanggapan untuk penyelidikan yang dikirim ke port TCP atau UDP yang tidak terbuka. Jika IPsec memblokir lalu lintas ICMP, alat pemindaian mungkin palsu melaporkan bahwa port membuka. Menggunakan jaringan jejak dengan alat Monitor Jaringan untuk memastikan bahwa lalu lintas yang dikirim dan diterima pada jaringan.

Ketika Kerberos pembebasan dihapus, dan jika IPsec juga digunakan untuk mengamankan lalu lintas dengan menggunakan Otentikasi Kerberos di IKE, desain kebijakan IPsec berikut pertimbangan harus diikuti:
  • Komputer yang menggunakan otentikasi IKE Kerberos dengan
    NoDefaultExempt = 1
    tidak dapat berkomunikasi dengan rekan komputer yang menggunakan IKE Otentikasi Kerberos jika itu juga tidak memiliki nilai kunci registri yang sama. Menggunakan otentikasi sertifikat untuk IKE bukannya Kerberos di mana hal ini diperlukan.
  • Pengecualian eksplisit untuk Kerberos dan UDP 389 lalu lintas ke dan dari semua relevan DC IP alamat harus ditentukan di kebijakan IPsec. Karena Maret 2003, Microsoft tidak mendukung IPsec mengamankan lalu lintas dari anggota domain untuk pengontrol domain, menambahkan filter untuk kebijakan IPsec untuk secara eksplisit mengijinkan semua lalu lintas untuk alamat IP pengendali domain. Ini mungkin memerlukan banyak izin filter jika ada banyak alamat IP DCs. DC harus secara permanen ditugaskan ke DC (alamat IP statis). Saringan untuk semua DC di domain harus secara manual dikelola oleh administrator untuk memiliki daftar alamat IP. Ini dapat lebih mudah diperbarui oleh administrator jika filter menentukan nama DNS domain sebagai sumber atau alamat tujuan selama pembuatan penyaring baru. Ini memecahkan domain nama terhadap DNS ke semua alamat IP yang saat ini dalam domain dan membuat filter untuk IP setiap individu. Pastikan daftar alamat IP sebelum Anda menggunakan saringan dalam produksi. Menambahkan DC baru akan memerlukan menambahkan penyaring baru di Daftar filter ini. Microsoft menganjurkan menggunakan satu saringan untuk semua DC di domain tertentu yang kemudian bersama di IPsec kebijakan aturan. Pastikan bahwa nama daftar penyaring menunjukkan waktu update terakhir daftar alamat IP mudah referensi.
Untuk informasi lebih lanjut tentang komunikasi antara domain controller, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
254949IPSec dukungan untuk kontroler klien untuk domain lalu lintas dan kontroler kontroler domain domain lalu lintas

Mempengaruhi RSVP pembebasan

Untuk komputer yang menggunakan RSVP, seorang penyerang dapat menyebabkan Denial of service oleh banjir atau mengirim palsu atau berbahaya RSVP paket untuk 10.10.1.2. Ini adalah alamat IP yang digunakan dalam contoh sebelumnya, dan serangan ini akan mem-bypass filter IPsec satu arah inbound blok di contoh.

Protokol RSVP adalah protokol IP 46. Hal ini menandakan protokol yang digunakan untuk cadangan bandwidth di router untuk program lalu lintas.

RSVP pada Windows 2000

Windows 2000 menggunakan protokol RSVP di bawah berikut keadaan:
  • QoS penerimaan kontrol layanan diinstal. Ini adalah komponen jaringan opsional di Windows 2000 Server komputer. Jika ini adalah diinstal, menerima dan mengirim RSVP lalu lintas.
  • Layanan RSVP Quality of Service (QoS) berjalan. Oleh default, layanan ini diinstal dan dikonfigurasi sebagai layanan autostart. Kapan itu dimulai, layanan banyak program Rsvp.exe yang menggunakan RSVP protokol, dan kemudian unloads itu jika ada tidak ada lalu lintas yang memerlukan RSVP signaling. Itu banyak Rsvp.exe program secara dinamis ketika QoS layanan diperlukan.
  • Program membuka soket soket GQoS pilihan. The RSVP.exe program berjalan terus-menerus untuk mengelola signaling untuk soket lalu lintas.
  • The PathPing r perintah menggunakan Protokol RSVP untuk menentukan jika router RSVP diaktifkan.
Untuk informasi lebih lanjut tentang cara menonaktifkan protokol RSVP signaling, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
247103Cara menonaktifkan RSVP signaling
Ketika digunakan, QoS RSVP layanan tidak mengirim RSVP menandakan ditentukan pada antarmuka.

RSVP pada Windows XP

Protokol RSVP deprecated pada Windows XP. Meskipun Kualitas layanan (QoS) RSVP layanan diinstal secara default, dikonfigurasi untuk memulai manual. Layanan tidak mengirim atau proses protokol RSVP diterima pesan. Itu masih register protokol RSVP sehingga tumpukan TCPIP menerima IP protokol 46 jenis paket. Tetapi paket ini inbound kemudian dibuang. Jika QoS RSVP layanan tidak dimulai, stack protokol TCP/IP akan drop paket RSVP yang masuk, dan kemudian mengirimkan "tujuan tidak terjangkau" ICMP respon.

Windows XP hanya menggunakan protokol RSVP ketika PathPing r perintah menggunakan protokol RSVP untuk menentukan Jika router RSVP diaktifkan.

Melindungi terhadap RSVP serangan

Untuk mengaktifkan IPsec untuk melindungi terhadap potensi serangan dengan menggunakan Protokol RSVP, administrator harus menetapkan
NoDefaultExempt = 1
kunci registri untuk menonaktifkan pembebasan RSVP di IPsec. Sebaliknya, Anda dapat menonaktifkan layanan QoS RSVP, atau menonaktifkan RSVP sebagai sebuah protokol.Untuk informasi lebih lanjut tentang bagaimana melakukan Jadi, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
247103Cara menonaktifkan RSVP signaling
Jika operasi protokol RSVP diperlukan, eksplisit izin filter dapat ditetapkan dalam kebijakan IPsec untuk mengizinkan protokol IP 46 untuk sumber dan tujuan sesuai alamat. Karena RSVP dimaksudkan untuk berkomunikasi dengan router, Microsoft tidak menganjurkan menggunakan IPsec untuk menegosiasikan keamanan untuk RSVP. Perhatikan bahwa RSVP juga dapat menggunakan alamat multicast yang tidak dapat disaring oleh IPSec.

Mempengaruhi siaran dan pembebasan Multicast

Paket dengan alamat multicast dan siaran tujuan akan tidak sesuai dengan filter inbound contoh karena inbound filter memiliki alamat tujuan dari alamat IP tertentu unicast (10.10.1.2). Windows 2000 dan Windows XP IPsec penyaringan tidak memungkinkan untuk penyaring multicast atau siaran lalu lintas.

Jika penyerang konstruksi multicast atau siaran paket dan jika jaringan izin paket-paket ini diterima oleh komputer, penyerang dapat melewati filter IPsec yang digunakan dalam sebelumnya contoh. Biasanya penyerang harus berada pada subnet lokal untuk melakukan serangan dengan menggunakan lalu lintas ini karena default gateway router konfigurasi tidak akan meneruskan tidak diminta multicast inbound atau siaran lalu lintas. Dalam beberapa rancangan kebijakan IPsec yang menggunakan pilihan penyaring untuk "Izinkan tanpa jaminan komunikasi dengan non-IPsec sadar komputer", seorang penyerang dapat untuk menggunakan multicast atau siaran lalu lintas masuk menyebabkan komputer tujuan untuk mengirim respons unicast. Ini kemudian akan memicu IKE negosiasi outbound yang akan membuat paket lembut SA dan membuka jalan bagi penyerang untuk Hubungkan. Penyerang dapat membangun paket TCP yang tidak sah dengan menggunakan multicast atau siaran alamat tujuan untuk mencoba untuk mem-bypass filter IPsec. Jika program atau protokol berjalan yang meminta untuk menerima paket multicast atau siaran, penyerang dapat berkomunikasi dengan program itu jika penyerang dan program keduanya menggunakan hanya siaran dan multicast lalu lintas.

Microsoft merekomendasikan bahwa IPsec administrator membahas router dan firewall konfigurasi dengan administrator jaringan untuk menyelidiki lebih lanjut kelayakan serangan yang didasarkan pada IPsec saat ini kebijakan.

TCP-based komunikasi memerlukan tiga-cara jabat tangan yang menggunakan unicast IP lalu lintas, dan karena itu tidak dapat menggunakan multicast atau siaran jenis lalu lintas. Dalam Windows 2000 dan Windows XP, program dan layanan yang menggunakan UDP dan soket mentah secara default menerima siaran lalu lintas jika dikirim ke port bahwa program membuka. Secara default, RFC 2644 menyatakan bahwa diarahkan siaran lalu lintas tidak boleh diteruskan oleh router. Ada dua jenis siaran lalu lintas yang dapat digunakan dari link lokal:
  • Terbatas siaran alamat-ini adalah jika IP tujuan alamat adalah 255.255.255.255.
  • Jaringan awalan disutradarai siaran - ini adalah jika alamat IP tujuan adalah x.y.255.255 atau x.y.z.255 dengan subnet sesuai masker.
Program biasanya menentukan model komunikasi mereka sendiri dengan menggunakan lalu lintas ini. Biasanya multicast dan siaran lalu lintas digunakan untuk awalnya mengumumkan dan menemukan layanan. Kemudian sumber dan tujuan komputer akan menggunakan unicast trafik IP antara alamat IP untuk melanjutkan komunikasi.

Untuk melihat UDP program yang akan menerima siaran lalu lintas secara default, menggunakan netstat perintah:
  • Windows 2000: netstat - UDP -pAda tidak ada metode untuk menampilkan program yang dibuka ini Port.
  • Windows XP: netstat ?ao ?p UDP The -ao switch menunjukkan ID proses untuk membantu mengidentifikasi program yang menggunakan port terbuka.

Apa program dapat menerima Multicast Lalu lintas?


Program harus secara eksplisit mendaftar dengan tumpukan TCPIP untuk menerima inbound multicast lalu lintas. Jika program tidak terdaftar untuk menerima jenis lalu lintas, inbound multicast paket dijatuhkan. Namun, multicast paket dapat dijatuhkan pada adaptor jaringan (paling umum), di miniport, lapisan IP, atau lapisan UDP. Administrator harus memeriksa untuk menentukan apa jenis lalu lintas multicast routable melalui jaringan untuk lebih baik menilai jika lalu lintas multicast dapat digunakan untuk menyerang komputer. Pada menentukan kelompok multicast yang telah bergabung dengan program:
  • Windows 2000: tidak ada metode yang tersedia
  • Windows XP:
    1. Klik Mulai, klik Menjalankan, jenis cmd, lalu klik Oke.
    2. Jenis netsh antarmuka ip Tampilkan bergabung, kemudian tekan ENTER.

Menggunakan IPsec dengan Firewall Sambungan Internet

Untuk Windows XP, Firewall Sambungan Internet (ICF) mungkin lebih baik memenuhi persyaratan keamanan untuk menyaring lalu lintas. ICF filter dan dapat blok inbound multicast dan siaran lalu lintas di Windows XP SP1. Namun, ICF tidak menyadari lalu-lintas yang dilindungi oleh IPsec AH atau ESP transportasi atau terowongan modus. IPsec adalah pada layer jaringan di bawah ICF. IKE berlapis-lapis di atas ICF. Because of this, ICF statis harus mengizinkan IKE (UDP port 500) inbound, dan tidak akan melihat protokol IPsec AH atau ESP, tapi lalu lintas TCP atau UDP setelah IPsec memiliki decapsulated dalam pengolahan menerima. Jika IPsec menghambat lalu lintas, ICF paket menjatuhkan log tidak akan berisi paket-paket yang IPsec dibuang.

Fungsi IPsec dapat digabungkan bersama ICF penyaringan untuk maju penyaringan perilaku. Sebagai contoh, ICF hanya dapat dikonfigurasi untuk membuka TCP port 445 dari alamat IP, dan penyaring IPsec mungkin digunakan untuk lebih membatasi ini hanya paket-paket yang mengandung subnet internal sebagai alamat sumber. Contoh lain mungkin bahwa IPsec dikonfigurasi untuk bernegosiasi keamanan untuk semua lalu lintas, tetapi konfigurasi ICF membatasi apa koneksi inbound diperbolehkan untuk diterima, mengizinkan hanya inbound IKE (UDP port 500) dan SMB file sharing (TCP port 445).

REFERENSI

Untuk informasi lebih lanjut tentang pelaksanaan TCP/IP, melihat Windows 2000 TCP/IP Detailed pelaksanaan kertas putih. Untuk melakukannya, kunjungi Web site Microsoft berikut:
http://technet.Microsoft.com/en-us/library/bb726981.aspx
Untuk informasi lebih lanjut tentang keamanan IP, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
253169Lalu lintas yang dapat - dan tidak - dijamin dengan IPSec
254728 IPSec tidak aman Kerberos lalu lintas antara pengontrol domain
308127 Bagaimana untuk secara manual membuka port dalam Firewall Sambungan Internet dalam Windows XP
810207 Pengecualian default IPSec dihapus pada Windows Server 2003

Properti

ID Artikel: 811832 - Kajian Terakhir: 03 Oktober 2011 - Revisi: 3.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Kata kunci: 
kbfirewall kbprb kbinfo kbmt KB811832 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:811832

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com