Esenzioni predefinite IPsec possono essere utilizzate per ignorare la protezione IPsec in alcuni scenari

Traduzione articoli Traduzione articoli
Identificativo articolo: 811832 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

La funzionalità di Internet Protocol Security (IPsec) in Windows 2000, Windows XP e Windows Server 2003 non è stata progettata come un firewall completo basato su host. È stato progettato per fornire autorizzazione di base e il blocco di filtro in base utilizzano indirizzi, protocollo e le informazioni sulle porte nei pacchetti di rete. La funzionalità IPsec è stata inoltre progettata come strumento di amministrazione in grado di ottimizzare la protezione delle comunicazioni in modo trasparente per i programmi. Per questo motivo, fornisce i filtri di traffico necessari per negoziare la protezione per la modalità di trasporto IPsec o la modalità tunnel IPsec, soprattutto per ambienti di rete Intranet in cui i trust dei computer risultano disponibili dal servizio Kerberos o per percorsi Internet specifici in cui è possibile utilizzare certificati digitali dell'infrastruttura a chiave pubblica (PKI).

Le esenzioni predefinite ai filtri di criteri IPsec sono documentate nella Guida in linea di Microsoft Windows 2000 e Microsoft Windows XP. Questi filtri consentono per IKE (Internet Key Exchange) e Kerberos alla funzione. I filtri rendono possibile per la rete qualità del servizio (QoS) per essere segnalato (RSVP) quando il traffico di dati è protetto da IPsec e per il traffico che IPsec non può proteggere ad esempio il traffico multicast e broadcast. Per ulteriori informazioni su questi filtri, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
253169 Traffico che è--e Impossibile--essere protetto da IPsec

Informazioni

Nonostante IPsec venga sempre più spesso utilizzato per il filtraggio di pacchetti firewall host di base, in particolare in scenari con esposizione in Internet, l'impatto di queste esenzioni predefinite non è stato interamente compreso. Di conseguenza, alcuni amministratori di IPsec può essere di creare i criteri IPsec che ritengono che sono protetti, ma non sono effettivamente protetti contro gli attacchi in ingresso che utilizzano le esenzioni predefinite.

Microsoft consiglia che gli amministratori di rete attenersi alla procedura in questo articolo per rimuovere le esenzioni predefinite per IPSec. Questo particolare è consigliato se IPsec è utilizzato in scenari in cui funzionalità firewall di tipo deve impedire ai pirati informatici di rete accedere al computer. Rimuovere le esenzioni predefinite per Kerberos impedire che utenti malintenzionati annullando la protezione è destinata a essere fornita da IPsec per alcune configurazioni di criteri IPsec. Dopo aver rimosso le esenzioni, i criteri di protezione esistente potrebbero essere necessario essere modificata per funzionare correttamente.

Gli amministratori possono avviare pianificare le modifiche per tutte le distribuzioni IPsec nuove ed esistenti utilizzando il
NoDefaultExempt=1
chiave del Registro di sistema su tutti i computer basati su Windows 2000 e basato su Windows XP. Lo scopo di questa chiave del Registro di sistema è descritto più avanti in questo articolo.

Definizione di esenzioni predefinite IPsec

Nella tabella seguente sono riepilogati i filtri equivalenti che vengono implementati se sono attivate tutte le esenzioni predefinite ai filtri IPSec, per impostazione predefinita, oppure se
NoDefaultExempt
è impostata a 0 .These filtro definizioni descrivere le esenzioni predefinite che vengono applicate nel driver IPsec per consentire il traffico, indipendentemente dal altri filtri del criterio IPsec. Strumenti che consentono di visualizzare i dettagli filtro del criterio IPSec, queste esenzioni non vengono visualizzate nei risultati delle.

Equivalente filtri per
NoDefaultExempt=0
:
Riduci questa tabellaEspandi questa tabella
Indirizzo di origineDestinazione indirizzoProtocolloPorta di originePorta di destinazioneOperazione filtro
Indirizzo IPQualsiasi indirizzo IPUDPQualsiasi88Autorizzazione
Qualsiasi indirizzo IPIndirizzo IPUDP88Qualsiasi Autorizzazione
Qualsiasi indirizzo IPIndirizzo IPUDPQualsiasi 88Autorizzazione
Indirizzo IPQualsiasi indirizzo IPUDP88Qualsiasi Autorizzazione
Indirizzo IPQualsiasi indirizzo IPTCPQualsiasi 88Autorizzazione
Qualsiasi indirizzo IPIndirizzo IPTCP88Qualsiasi Autorizzazione
Qualsiasi indirizzo IPIndirizzo IPTCPQualsiasi 88Autorizzazione
Indirizzo IPQualsiasi indirizzo IPTCP88Qualsiasi Autorizzazione
Indirizzo IPQualsiasi indirizzo IPUDP500500 (1)Autorizzazione
Qualsiasi indirizzo IPIndirizzo IPUDP500500Autorizzazione
Indirizzo IPQualsiasi46 (RSVP)Autorizzazione
Qualsiasi indirizzo IPIndirizzo IP46 (RSVP)Autorizzazione
Qualsiasi indirizzo IP<multicast> (2)Autorizzazione
Indirizzo IP<multicast>Autorizzazione
Qualsiasi indirizzo IP<broadcast> (3) Autorizzazione
Indirizzo IP<broadcast>Autorizzazione
<Tutti i protocolli IPv6 il traffico > (5)<Tutti i protocolli IPv6 il traffico > (4)Autorizzazione
Quando viene specificato l'indirizzo IP, la subnet mask è 255.255.255.255. Quando l'indirizzo IP è qualsiasi, la subnet mask è 0.0.0.0.
  1. Affinché la modalità di trasporto IPSec negoziare tramite un SA in modalità tunnel IPSec, il traffico ISAKMP non viene esonerato se è necessario passare attraverso il tunnel IPSec prima.
  2. Il traffico multicast è definito come la classe D intervallo, con un intervallo di indirizzo di destinazione di 224.0.0.0 con un 240.0.0.0 subnet mask. Include l'intervallo di indirizzi IP compreso tra 224.0.0.0 e 239.255.255.255.
  3. Il traffico broadcast è in è di definito come un indirizzo di destinazione 255.255.255.255, l'indirizzo di broadcast limitato o con l'ID host parte dell'indirizzo IP impostata per tutti i 1, indirizzo di broadcast della subnet.
  4. IPSec non supporta il filtraggio per IP versione 6 (IPv6) pacchetti, tranne quando i pacchetti IPv6 vengono incapsulati con un'intestazione IPv4 come IP protocol 41. Per ulteriori informazioni sul supporto di IPv6 in Windows, visitare il sito di Web di Microsoft:
    http://technet.microsoft.com/en-us/network/bb530961.aspx

Supporto di sistema operativo per NoDefaultExempt

Nella tabella seguente vengono descritti i comportamenti di esenzione predefinito nelle diverse versioni di Windows 2000 e Windows XP:
Riduci questa tabellaEspandi questa tabella
Vendita al dettaglio, versione rilasciatoSP1SP2SP3SP4
Windows 2000Dispone delle esenzioni predefinite. chiave
NoDefaultExempt
non è supportata.
Dispone delle esenzioni predefinite, la chiave
NoDefaultExempt
è supportato, i valori 0 o 1 .
Dispone delle esenzioni predefinite. chiave
NoDefaultExempt
è supportata e i valori 0 o 1 .
Dispone delle esenzioni predefinite. chiave
NoDefaultExempt
è supportata e i valori 0 o 1 .
Modifica impostazione predefinita,
NoDefaultExempt=1
che consente di rimuovere le esenzioni di Kerberos e RSVP.
Windows XPDispone delle esenzioni predefinite,
NoDefaultExempt
è supportato, i valori 0 o 1 .
Dispone delle esenzioni predefinite,
NoDefaultExempt
è supportato, i valori 0 o 1 .
Modifica impostazione predefinita,
NoDefaultExempt=1
, che consente di rimuovere le esenzioni di Kerberos e RSVP.


Nota IPSec in Windows 2000 e Windows XP non supporta il filtraggio del traffico multicast o broadcast.

Rimozione delle esenzioni predefinite in

La seguente chiave del Registro di sistema controlla il tipo delle esenzioni predefinite per IPsec:
NoDefaultExempt

Tipo di dati: REG_DWORD
Intervallo: varia:
Windows 2000: 0-1 solo supportati
Windows XP: 0-1 solo supportati
Windows Server 2003: 0-3 supportati solo
Comportamento (Windows 2000 e Windows XP) predefinito: 0
(Windows Server 2003) del comportamento predefinito: 3
Presente per impostazione predefinita: No
Descrizione dei valori possibili:
  • Il valore 0 specifica che broadcast, multicast, RSVP, Kerberos e IKE il traffico di (ISAKMP) è esonerato dal filtraggio IPSec. Rappresenta il comportamento di filtro predefinito per Windows 2000 e Windows XP. Utilizzare questa impostazione solo se necessario per garantire la compatibilità con un criterio IPsec esistente o con il comportamento di Windows 2000 e Windows XP.
  • Un valore pari a 1 indica che il traffico Kerberos e RSVP non è esonerato dal filtraggio IPSec, mentre multicast, broadcast e il traffico IKE sono esenti. Questo è il valore consigliato per Windows 2000 e Windows XP.
  • Un valore pari a 2 indica che il traffico multicast e broadcast non è esonerato dal filtraggio IPSec, mentre il traffico RSVP, Kerberos e IKE sono esenti. Supportato solo in Windows Server 2003.
  • Un valore pari a 3 specifica che solo il traffico IKE è esonerato dal filtraggio IPSec. Supportato solo in Windows Server 2003. Windows Server 2003 contiene questo comportamento predefinito, anche se la chiave del Registro di sistema non esiste per impostazione predefinita.
importante Questa sezione, metodo o l'attività sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, è eseguire il backup del Registro di sistema prima di modificarlo. È quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows


Per configurare questa chiave del Registro di sistema:
  1. Fare clic su Start , scegliere Esegui , digitare regedit e quindi fare clic su OK .
  2. Fare clic sulla seguente chiave di registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Nota In Windows Server 2008 e in Windows Vista, la chiave di registro di sistema è:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Fare clic con il pulsante destro del mouse su IPSEC , scegliere Nuovo , quindi Valore DWORD .
  4. Nome di questa nuova voce NoDefaultExempt .
  5. Modificare il valore della chiave
    NoDefaultExempt
    da 0 a 1 . Se si desidera, è possibile utilizzare un valore diverso da 1 , se un altro valore è più adatto al proprio ambiente.
  6. Chiudere l'editor del Registro di sistema.
  7. In Windows XP, fare clic su Start , scegliere Pannello di controllo e fare doppio clic su Strumenti di amministrazione . In Windows 2000 fare clic su Start , scegliere Impostazioni , scegliere Pannello di controllo e fare doppio clic su Strumenti di amministrazione .
  8. Fare doppio clic su servizi .
  9. Arrestare e riavviare i servizi di IPSec. Windows XP richiede il riavvio del computer dopo aver eseguito questa operazione.

Effetto di esenzioni predefinite

Nell'esempio riportato di seguito viene illustrato un criterio di Windows 2000 o Windows XP IPSec che è configurato come un filtro di blocco unidirezionale. Gli effetti di applicare un filtro di blocco con queste regole è che tutto il traffico in ingresso è bloccato. Questa regola di filtro viene fornita soltanto per illustrare l'effetto delle esenzioni IPSec da questa regola:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
scopo l'amministratore ?s in questo esempio consiste nel bloccare tutto il traffico in ingresso unicast che verrà 10.10.1.2 l'indirizzo IP. Le sezioni seguenti descrivono l'impatto delle esenzioni predefinite, come vengono applicate a questo filtro.

Impatto dell'esenzione di IKE di

L'esenzione di IKE è specifico per la porta di origine e di destinazione UDP 500. IKE consente sempre di riceve questo tipo di pacchetto da qualsiasi indirizzo di origine a causa dell'esenzione di IKE predefinito. È possibile che un utente malintenzionato IKE di utilizzare le porte a attacchi IKE stesso e ad esempio causare problemi. Tuttavia, le porte IKE non utilizzabile per attaccare altre porte TCP o UDP aperte. IKE eseguirà un IPsec dei criteri ricerca per determinare se rispondere un pacchetto in ingresso. Poiché IKE viene utilizzato per negoziare le impostazioni di protezione tra due host di IPSec e IPsec i filtri vengono utilizzati solo per autorizzazione e controllo del blocco del traffico, IKE non riuscirà a trovare un criterio di protezione corrispondente e non risponderà alle richieste in ingresso.

IKE utilizzare diversi metodi di tipo denial of service (DoS) prevenzione. Windows 2000 Service Pack 3 e Windows XP forniscono DoS migliorata prevenzione a IKE di attacchi con saturazione. Impossibile disattivare indipendenti dal servizio IPsec e del driver IPsec IKE. IKE può essere disattivato solo interrompendo il IPsec servizio che disattiva anche il filtraggio IPsec.

Se IKE viene attaccato da Internet e non è necessaria, ma è necessario il filtraggio IPsec, una serie di opzioni è disponibile:
  • È possibile utilizzare un filtro di blocco per il traffico UDP 500 sul gateway predefinito o firewall.
  • Configurare il filtro di proprietà avanzate TCP/IP sull'interfaccia Internet. Autorizza solo utilizzare e quindi aggiungere le porte UDP necessario diverso UDP 500. Per ulteriori informazioni sull'utilizzo di questa opzione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    309798Come configurare il filtro in Windows 2000 TCP/IP
    Utilizzare il comando netstat ? a per visualizzare aprire le porte UDP.
  • In Windows XP il firewall connessione Internet (ICF) è possibile attivare l'interfaccia Internet per bloccare tutto il traffico in ingresso. Fori specifici possono essere configurati per le porte UDP diverso UDP 500.Per ulteriori informazioni su ICF, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    283673Come attivare o disattivare il firewall in Windows XP

Impatto dell'esenzione predefinita Kerberos di

In questo esempio che blocca tutto il traffico in ingresso unidirezionale, tutti unicast in ingresso o in uscita il traffico Kerberos sarebbe esentati dalla corrispondenza questo filtro. Di conseguenza, un utente malintenzionato può creare un pacchetto TCP o UDP di unicast che utilizza la porta di origine 88 per accedere qualsiasi porta aperta a 10.10.1.2. Ciò consentirebbe una scansione delle porte UDP e TCP, anche con il filtro di blocco. L'amministratore deve impostare la chiave di registro
NoDefaultExempt
per impedire gli attacchi. Se un router o firewall di filtro è in uso, è possibile o potrebbe non consentire questo traffico da un utente malintenzionato, a seconda di come gestisce il traffico che utilizza le porte di Kerberos.

Nota Molti strumenti di analisi di porta non vengono rilevato questo problema perché questi strumenti non consentono di impostare la porta di origine su 88 quando si verifica il controllo per le porte aperte. Si noti inoltre che molti strumenti di analisi porta prevede un messaggio ICMP in risposta a una verifica inviato a una porta TCP o UDP non è aperta. Se IPsec blocca il traffico ICMP, lo strumento di scansione potrebbe erroneamente segnalare che la porta è aperta. Utilizzare una traccia di rete con lo strumento Network Monitor per verificare che il traffico viene inviato e ricevuto sulla rete.

Quando il Kerberos esenzione viene rimosso e se IPsec viene utilizzato anche per proteggere il traffico mediante il protocollo Kerberos in IKE, è necessario rispettare le seguenti considerazioni di progettazione dei criteri IPsec:
  • Un computer che utilizza l'autenticazione Kerberos di IKE con
    NoDefaultExempt=1
    Impossibile comunicare con un computer peer che utilizza l'autenticazione Kerberos di IKE per i Se inoltre non è necessario lo stesso valore di chiave del Registro di sistema. Utilizzare l'autenticazione basata su certificati per IKE anziché Kerberos in cui questa operazione è necessaria.
  • Esenzioni esplicite per il traffico Kerberos e UDP 389 da tutti gli indirizzi IP dei controller di dominio appropriati e devono essere specificate nel criterio IPsec. Poiché di marzo 2003, Microsoft non supporta IPsec il traffico da un membro di dominio ai relativi controller di dominio, è possibile aggiungere i filtri nel criterio IPsec per consentire tutto il traffico agli indirizzi IP del controller di dominio. Ciò può richiedere che molte consente i filtri se non esistono molti indirizzi IP di controller di dominio controller di dominio. devono essere assegnati in modo permanente a controller di dominio (indirizzi IP statici). L'elenco di filtri per tutti i controller di dominio in un dominio deve essere mantenuto manualmente dall'amministratore per l'elenco corrente di indirizzi IP. Questo può essere più facilmente aggiornato dall'amministratore se il filtro specifica il nome DNS del dominio come indirizzo di origine o di destinazione durante la creazione di un nuovo filtro. Questo risolve il nome di dominio da DNS in tutti gli indirizzi IP correnti del dominio e si creare filtri per ogni singolo IP. Verificare l'elenco di indirizzi IP prima si utilizza l'elenco di filtri nell'ambiente di produzione. Aggiunta di un nuovo controller di dominio richiede l'aggiunta di un nuovo filtro in questo elenco di filtri. Consiglia di utilizzare un elenco di filtri per tutti i controller di dominio in un dominio particolare che vengono quindi condivise tra le regole del criterio IPsec. Assicurarsi che il nome dell'elenco filtro indica l'aggiornamento ora dell'ultima dell'elenco di indirizzi IP per semplice riferimento.
Per ulteriori informazioni sulla comunicazione tra i controller di dominio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
254949Supporto di IPSec per il traffico di client per domain controller e il traffico di controller di dominio del dominio

Impatto dell'esenzione di RSVP

Per un computer che utilizza RSVP, un utente malintenzionato potrebbe essere in grado di causare una condizione di denial of service tramite la saturazione o invio di pacchetti RSVP spoofing o dannosi a 10.10.1.2. Questo è l'indirizzo IP che è utilizzato nell'esempio precedente e questo tipo di attacco potrebbe ignorare il filtro IPsec di blocco in ingresso unidirezionale nell'esempio.

Il protocollo RSVP è il protocollo IP 46. È un protocollo segnalazione che consente di riservare larghezza di banda nei router per il traffico del programma.

RSVP in Windows 2000

Windows 2000 utilizza il protocollo RSVP nelle circostanze descritte di seguito:
  • Il servizio controllo ammissione QoS è installato. Questo è un componente di rete facoltativo in computer che eseguono Windows 2000 Server. Se questo è installato, riceve e invia il traffico RSVP.
  • Il servizio di qualità del servizio (QoS) RSVP è in esecuzione. Per impostazione predefinita, questo servizio è installato e configurato come un servizio di avvio automatico. Quando viene avviato, il servizio carica il programma di Rsvp.exe che utilizza il RSVP protocollo, quindi unloads se l'assenza di traffico che richiede RSVP di segnalazione. Carica il programma Rsvp.exe in modo dinamico quando sono necessari servizi di QoS.
  • Un programma viene aperto un socket con un'opzione di socket GQoS. Il programma di Rsvp.exe viene eseguito continuamente per gestire la segnalazione per il traffico di socket.
  • Il comando di ? r di pathping utilizza il protocollo RSVP per determinare se i router sono RSVP attivato.
Per ulteriori informazioni su come disattivare il protocollo RSVP di segnalazione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
247103Come disattivare la segnalazione di RSVP
Quando viene utilizzato, è possibile che il servizio QoS RSVP non invia RSVP sull'interfaccia specificata.

RSVP in Windows XP

Il protocollo RSVP è stato dichiarato obsoleto in Windows XP. Sebbene il servizio RSVP della qualità del servizio (QoS) viene installato per impostazione predefinita, viene configurato per un avvio manuale. Il servizio non inviare o elaborare messaggi di protocollo RSVP ricevuti. Registra ancora il RSVP protocollo in modo che lo stack TCP/IP riceve IP 46 pacchetti di tipo di protocollo. Ma questi pacchetti in ingresso vengono quindi eliminati. Se il servizio QoS RSVP non è stato avviato, lo stack del protocollo TCP/IP verrà eliminare il pacchetto RSVP in ingresso e quindi inviare un pacchetto di "tipo destinazione irraggiungibile" ICMP in risposta.

Windows XP il protocollo RSVP viene utilizzato solo quando il comando ? r di pathping utilizza il protocollo RSVP per determinare se i router sono RSVP attivato.

Protezione contro RSVP attacchi

Per attivare IPsec proteggere da potenziali attacchi mediante il protocollo RSVP, l'amministratore deve impostare il
NoDefaultExempt=1
chiave di registro per disattivare l'esenzione di RSVP in IPsec. Al contrario, è possibile disattivare il servizio QoS RSVP, o disattivare RSVP come protocollo.Per ulteriori informazioni su come effettuare questa operazione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
247103Come disattivare la segnalazione di RSVP
Se RSVP protocollo operazione è necessaria, è possono definire filtri di autorizzazione espliciti nel criterio IPsec per consentire il protocollo IP 46 agli indirizzi di origine e di destinazione appropriati. Poiché RSVP è destinata a comunicare con i router, non è consigliabile utilizzare IPsec per negoziare la protezione per RSVP. Si noti che RSVP può utilizzare anche un indirizzo multicast non può essere filtrato da IPSec.

Effetto di broadcast e multicast esenzioni

I pacchetti con indirizzi di destinazione multicast e broadcast non kleza.exe il filtro in ingresso esempio perché il filtro in ingresso è un indirizzo di destinazione di indirizzo IP unicast specifico (10.10.1.2). Windows 2000 e Windows XP sui filtri IPSec non rende possibile filtrare il traffico multicast o broadcast.

Se un utente malintenzionato crea pacchetti multicast o broadcast e della rete consente a questi pacchetti di essere ricevuti dal computer, l'utente malintenzionato può ignorare il filtro IPsec utilizzato nell'esempio precedente. In genere l'utente malintenzionato dovrebbe trovarsi nella subnet locale per eseguire un attacco utilizzando questo traffico, poiché la configurazione di router gateway predefinito potrebbe non inoltra traffico di broadcast o multicast in ingresso non richiesto. In alcuni schemi di criteri IPsec che utilizzano l'opzione di filtro per ? Consenti non protette le comunicazioni con computer senza IPsec ?, un utente malintenzionato potrebbe essere in grado di utilizzare multicast o il traffico broadcast in ingresso per un computer di destinazione inviare una risposta unicast. Quindi attiverà una negoziazione IKE in uscita che verrà a creare un pacchetto di ASSOCIAZIONI deboli e aprire il percorso per l'utente malintenzionato per connettersi. Un utente malintenzionato potrebbe creare un pacchetto TCP non valido utilizza un indirizzo di destinazione multicast o broadcast eludere i filtri IPsec. Se un programma o un protocollo è in esecuzione che richiede di ricevere pacchetti multicast o broadcast, l'utente malintenzionato potrebbe essere possibile comunicare con tale programma, se l'utente malintenzionato e il programma utilizza solo il traffico broadcast e multicast.

Microsoft consiglia che l'amministratore IPsec illustrato la configurazione di router e firewall con l'amministratore della rete per ulteriori informazioni sulla fattibilità di tali un attacco in cui si basa il IPsec corrente dei criteri.

Comunicazione basata su TCP richiede un handshake a tre vie che utilizza il traffico IP unicast e pertanto non può utilizzare tipi di traffico multicast o broadcast. In Windows 2000 e Windows XP, programmi e servizi che utilizzano UDP e socket non elaborati per impostazione predefinita ricevono il traffico broadcast se viene inviato alle porte aprire i programmi. Per impostazione predefinita, stati RFC 2644 indirizzato il traffico broadcast non devono essere inoltrati dai router. Esistono due altri tipi di traffico broadcast che può essere utilizzato dal collegamento locale:
  • Indirizzo di broadcast limitato ? è se l'IP di destinazione indirizzo è 255.255.255.255.
  • Trasmissione guidati prefisso di rete - questo è l'indirizzo IP di destinazione x.y.255.255 o x.y.z.255 con maschere subnet appropriata.
I programmi, in genere, definire il proprio modello di comunicazione utilizzando questo traffico. In genere il traffico multicast e broadcast viene utilizzato per annunciare inizialmente e di individuare un servizio. Quindi il computer di origine e destinazione utilizzerà il traffico IP unicast tra gli indirizzi IP per continuare la comunicazione.

Per visualizzare programmi UDP che riceveranno il traffico broadcast per impostazione predefinita, utilizzare il comando netstat :
  • Windows 2000: netstat - a -p UDP non esiste un metodo per la visualizzazione di programmi di aprire queste porte.
  • Windows XP: netstat ? p di ?ao UDP il -ao opzione indicato l'ID di processo per identificare i programmi che utilizzano le porte aperte.

Le applicazioni possono ricevere traffico multicast?


Programmi necessario registrare in modo esplicito con lo stack TCP/IP per ricevere traffico multicast in ingresso. Se il programma non è registrato per ricevere questo tipo di traffico, vengono eliminati i pacchetti multicast in ingresso. Tuttavia, possono essere eliminati i pacchetti multicast alla scheda di rete (la più comune), il miniport, il livello IP o il livello UDP. Gli amministratori devono controllare per determinare quali tipi di traffico multicast sono instradabili attraverso la rete per valutare meglio se il traffico multicast può essere utilizzato per attaccare un computer. Per determinare quale multicast gruppi sono aggiunti da un programma:
  • Windows 2000: nessun metodo disponibile
  • Windows XP:
    1. Fare clic su Start , scegliere Esegui , digitare cmd e quindi fare clic su OK .
    2. Digitare netsh interface ip show joins e quindi premere INVIO.

Utilizzo di IPsec con Firewall connessione Internet (ICF)

Per Windows XP, il firewall connessione Internet (ICF) è possibile che meglio soddisfa i requisiti di protezione per filtrare il traffico. ICF di filtrare e possibile bloccare il traffico multicast e broadcast in ingresso in Windows XP SP1. Windows Firewall, tuttavia, non è a conoscenza di traffico è protetto da IPsec AH o ESP in modalità di trasporto o tunnel. IPsec è il livello di rete sotto ICF. IKE è disposta in precedenza Firewall connessione Internet. Di conseguenza, ICF deve consentire in modo statico IKE (porta UDP 500) in ingresso e verrà non visualizzare i protocolli IPsec AH o ESP, ma il traffico TCP o UDP dopo decapsulated IPsec nell'elaborazione di ricezione. Se IPsec blocca il traffico, il Registro di pacchetti di ICF eliminato non conterrà i pacchetti scartati da IPsec.

Funzionalità IPsec possono essere combinati con filtro per il comportamento di filtro avanzata di ICF. Ad esempio, ICF può essere configurata solo per aprire la porta TCP 445 da qualsiasi indirizzo IP e un filtro IPsec può essere utilizzato per limitare ulteriormente questo per solo i pacchetti contenenti una subnet interna come indirizzo di origine. Un altro esempio potrebbe essere che IPsec è configurato per negoziare la protezione per tutto il traffico, ma la configurazione dell'ICF limita le connessioni in ingresso a cui sono consentite essere accettata, consentendo solo IKE in ingresso (porta UDP 500) e la condivisione (porta TCP 445) dei file SMB.

Riferimenti

Per ulteriori informazioni sull'implementazione di TCP/IP, vedere il white paper implementazione dettagliato di Windows 2000 TCP/IP. A scopo scopo visitare il seguente sito Web Microsoft:
http://technet.microsoft.com/en-us/library/bb726981.aspx
Per ulteriori informazioni sulla protezione IP, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
253169Traffico che è--e Impossibile--essere protette da IPSec
254728IPSec non è possibile proteggere il traffico Kerberos tra controller di dominio
308127Apertura manuale di porte in Firewall connessione Internet di Windows XP
810207Rimozione delle esenzioni predefinite per IPSec in Windows Server 2003

Proprietà

Identificativo articolo: 811832 - Ultima modifica: venerdì 8 febbraio 2008 - Revisione: 7.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Chiavi: 
kbmt kbfirewall kbprb kbinfo KB811832 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 811832
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com