Vrijstellingen van de standaard IPsec kunnen worden gebruikt om IPSec-beveiliging in sommige scenario's overslaan

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 811832 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

De functie Internet Protocol Security (IPsec) in Windows 2000, Is Windows XP en Windows Server 2003 niet ontworpen als een complete host-gebaseerde firewall. Is ontworpen om eenvoudige toestaan en blokkeren filteren met behulp van adres-protocol en poort in pakketten. IPsec is ook ontworpen als een beheerprogramma om de beveiliging van communicatie op een manier die transparant voor programma's. Vanwege dit het biedt verkeer filteren dat nodig is om te onderhandelen over beveiliging voor IPsec transportmodus of IPSec-tunnelmodus voornamelijk bedoeld voor intranetomgevingen waar computer vertrouwen is beschikbaar vanuit de service Kerberos of specifieke paden via het Internet waar public key infrastructure (PKI) digitale certificaten kan worden gebruikt.

De standaard IPSec-beleidsfilters vrijstellingen zijn in de online help van Microsoft Windows 2000 en Microsoft Windows XP beschreven. Deze filters maken het mogelijk voor IKE (Internet Key Exchange) en Kerberos functie. Filters maken het tevens mogelijk voor het netwerk QoS (QoS) worden gesignaleerd (RSVP) wanneer het verkeer wordt beveiligd door IPsec en voor verkeer dat door IPsec mogelijk niet zoals multicast- en broadcast-verkeer wordt beveiligd.Voor meer informatie. Deze filters klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
253169Kan-- en kan niet--door IPsec beveiligd verkeer

Meer informatie

Als IPsec steeds voor eenvoudige host-firewall gebruikt pakketfiltering, met name in scenario's Internet blootgesteld de invloed van deze vrijstellingen standaard is niet volledig begrepen. Vanwege dit enkele IPSec-beheerders IPSec-beleid dat zij denkt zijn beveiligd, kunnen maken, maar werkelijk veilig tegen inkomende aanvallen die standaard zijn vrijstellingen.

Microsoft raadt dat netwerk beheerders de stappen in dit artikel de vrijstellingen standaard IPSec verwijderen Dit met name wordt aanbevolen als IPsec wordt gebruikt in scenario's waar dergelijke firewall functionaliteit moet voorkomen dat aanvallers netwerktoegang krijgen tot de computer. De standaard vrijstellingen voor Kerberos te voorkomen dat aanvallers verwijderen de bescherming die bestemd is voor bepaalde worden verstrekt door IPsec heeft weinig nut Configuraties voor IPSec-beleid. Nadat de vrijstellingen worden verwijderd, bestaande beveiligingsbeleid mogelijk gewijzigd werken juist.

Plannen voor deze wijzigingen voor alle kunnen beheerders starten bestaande en nieuwe IPsec-implementaties met behulp van de
NoDefaultExempt = 1
registersleutel op alle Windows 2000 en Windows XP-computer computers. Het doel van deze registersleutel later in dit artikel artikel.

Definitie van een standaard IPSec-uitzonderingen

De volgende tabel worden de gelijkwaardige filters zijn Als alle vrijstellingen van standaard-IPSec-filtering ingeschakeld, als ze worden geïmplementeerd Standaard, of
NoDefaultExempt
is ingesteld op0.Deze filterdefinities beschrijven standaard vrijstellingen die in het IPSec-stuurprogramma dat verkeer, ongeacht andere IPSec-beleid is toegepast filters. Hulpprogramma's die zijn ontworpen voor het weergeven van IPSec-beleid filterdetails niet deze vrijstellingen in hun resultaten weergeven.

Gelijkwaardige Filters
NoDefaultExempt = 0
:
Deze tabel samenvouwenDeze tabel uitklappen
BronadresBestemming AdresProtocolBronpoortBestemming PoortFilteractie
Mijn IP-adresIP- AdresUDPElke88Toestaan
Elk IP-adresMijn IP AdresUDP88ElkeToestaan
Elk IP-adresMijn IP-adresUDPElke88Toestaan
Mijn IP-adresIP- AdresUDP88ElkeToestaan
Mijn IP-adresElk IP-adresTCPElke88Toestaan
Elk IP-adresMijn IP AdresTCP88ElkeToestaan
Elk IP-adresMijn IP-adresTCPElke88Toestaan
Mijn IP-adresIP- AdresTCP88ElkeToestaan
Mijn IP-adresIP- AdresUDP500500 (1)Toestaan
Elk IP-adresMijn IP AdresUDP500500Toestaan
Mijn IP-adresElke46 (RSVP)Toestaan
Elk IP-adresMijn IP-adres46 (RSVP)Toestaan
Elk IP-adres<multicast>(2)</multicast>Toestaan
Mijn IP Adres<multicast></multicast>Toestaan
Elk IP-adres<broadcast>(3)</broadcast>Toestaan
Mijn IP Adres<broadcast></broadcast>Toestaan
<all ipv6="" protocol="" traffic="">(5)</all><all ipv6="" protocol="" traffic="">(4)</all>Toestaan
Als het IP-adres wordt opgegeven, wordt het subnetmasker 255.255.255.255. Wanneer het IP-adres een is, is het subnetmasker 0.0.0.0.
  1. Voor IPSec-transportmodus onderhandeld via de IPSec-tunnelmodus SA, ISAKMP-verkeer niet vrijgesteld als moet doorgeven tunnel eerst via IPSec.
  2. Multicast-verkeer wordt gedefinieerd als de klasse D-bereik met een bestemming-adresbereik van 224.0.0.0 een 240.0.0.0 met subnetmasker. Dit het bereik van IP-adressen naar 224.0.0.0 bevat 239.255.255.255.
  3. Broadcast-verkeer wordt gedefinieerd als doeladres 255.255.255.255, de beperkte broadcast-adres, of als de host-ID gedeelte van het IP-adres ingesteld op alle 1s het subnet-broadcast adres.
  4. IPSec biedt geen ondersteuning voor het filteren van IP versie 6 (IPv6) behalve wanneer IPv6-pakketten worden ingekapseld met een IPv4-header als IP-pakketten 41-protocol. Bezoek voor meer informatie over IPv6-ondersteuning in Windows de volgende Microsoft-website:
    http://technet.Microsoft.com/en-us/Network/bb530961.aspx

Ondersteuning voor NoDefaultExempt besturingssysteem

De volgende tabel beschrijft de standaardgedragingen vrijstelling in de verschillende versies van Windows 2000 en Windows XP:
Deze tabel samenvouwenDeze tabel uitklappen
Detailhandel uitgebracht VersieSP1SP2SP3SP4
Windows 2000Heeft standaard vrijstellingen.
NoDefaultExempt
sleutel wordt niet ondersteund.
Heeft standaard vrijstellingen
NoDefaultExempt
sleutel wordt ondersteund, waarden0of1.
Heeft standaard vrijstellingen.
NoDefaultExempt
sleutel wordt ondersteund, waarden0of1.
Heeft standaard vrijstellingen.
NoDefaultExempt
sleutel wordt ondersteund, waarden0of1.
Wijzigingen standaard
NoDefaultExempt = 1
Hiermee verwijdert u vrijstellingen toestand en RSVP.
Windows XPHeeft standaard vrijstellingen
NoDefaultExempt
wordt ondersteund, waarden0of1.
Heeft standaard vrijstellingen
NoDefaultExempt
wordt ondersteund, waarden0of1.
Wijzigingen standaard
NoDefaultExempt = 1
, die toestand- en RSVP-uitzonderingen verwijderd.


OpmerkingIPSec in Windows 2000 en Windows XP biedt geen ondersteuning voor het filteren van broadcast of multicast-verkeer.

Verwijdering van standaard vrijstellingen

De volgende registersleutel bepaalt het type standaard vrijstellingen IPSec:
NoDefaultExempt

Gegevenstype: REG_DWORD
Bereik: varieert:
Windows 2000: 0-1 alleen ondersteund
Windows XP: 0-1 alleen ondersteund
Windows Server 2003: 0-3 alleen ondersteund
Standaardinstelling (Windows 2000 en Windows XP)0
Standaardinstelling (Windows Server 2003):3
Standaard aanwezig: Nee
Beschrijving van mogelijke waarden:
  • De waarde0Hiermee geeft u op dat multicast-, broadcast, RSVP-, Kerberos en IKE Verkeer (PPP.dll) zijn vrijgesteld van IPSec-filtering. Dit is de standaardinstelling filteren gedrag voor Windows 2000 en Windows XP. Gebruik deze instelling alleen als u voor compatibiliteit met een bestaande IPSec-beleid of Windows 2000 en Windows XP gedrag.
  • De waarde1geeft aan dat Kerberos- en RSVP-verkeer vrijgesteld zijn IPSec-filtering maar multicast-, broadcast- en IKE-verkeer zijn vrijgesteld. Dit is de aanbevolen waarde voor Windows 2000 en Windows XP.
  • De waarde2Hiermee geeft u geen multicast- en broadcast-verkeer vrijgesteld zijn van IPSec-filtering maar RSVP-, Kerberos- en IKE-verkeer vrijgesteld zijn. Ondersteund alleen in Windows Server 2003.
  • De waarde3geeft aan dat alleen IKE-verkeer vrijgesteld van IPSec-filtering. Alleen ondersteund in Windows Server 2003. Windows Server 2003 bevat deze standaardgedrag, hoewel de registersleutel niet bestaat Standaard.
BelangrijkDeze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, kunnen ernstige problemen optreden als u het register onjuist bewerkt. Zorg ervoor dat u deze zorgvuldig stappen. Reservekopie van het register voordat u het wijzigen voor extra bescherming. Vervolgens kunt u het register herstellen als er een probleem optreedt. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over back-up en terugzetten van het register:
322756Back-up en terugzetten van het register in Windows


Deze registersleutel configureren:
  1. Klik opStart, klik opUitvoeren, typeRegedit, en klik vervolgens opOK.
  2. Klik op de volgende registersleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    OpmerkingIn Windows Server 2008 en Windows Vista is de registersleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Klik met de rechtermuisknopIPSEC, wijsNieuwe, en klik vervolgens opDWORD-waarde.
  4. Deze nieuwe vermelding de naamNoDefaultExempt.
  5. Wijzig de waarde van de
    NoDefaultExempt
    sleutel0naar1. Als u wilt, kunt u een waarde dan1Als een andere waarde is het beste geschikt voor uw omgeving.
  6. Sluit Register-Editor.
  7. Klik in Windows XPStart, klik opConfiguratiescherm, en dubbelklik vervolgens opAdministratieve Extra. In Windows 2000 opStart, klik opInstellingen, klik opConfiguratiescherm, en Dubbelklik opSysteembeheer.
  8. Dubbelklik opServices.
  9. Stop en start de IPSec-services opnieuw. Windows XP moet de computer opnieuw op te starten nadat u dit doet.

Invloed van standaard vrijstellingen

Het volgende voorbeeld wordt een Windows 2000 of Windows XP IPSec beleid dat is geconfigureerd als een eenzijdige filter. De effecten van een filter blok met deze regels wordt al het binnenkomende verkeer wordt geblokkeerd. Dit filterregel is alleen bedoeld om te demonstreren, het effect van de IPSec-uitzonderingen tegen deze regel:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
De bedoeling van de beheerder in dit voorbeeld is blokkeert alle inkomende unicast-verkeer dat wordt het 10.10.1.2 IP-adres. De volgende secties worden de gevolgen van de standaard vrijstellingen worden toegepast op deze filter.

Invloed van IKE-vrijstelling

De IKE-vrijstelling is specifiek voor bron en doel poort UDP 500. Dit type pakket ontvangt IKE altijd van een adres vanwege de standaard IKE vrijstelling. Mogelijk kan een aanvaller de IKE gebruiken poorten IKE zelf aanvallen en misschien problemen veroorzaken. Echter, de IKE-poorten kan niet worden gebruikt voor aanvallen op andere open UDP of TCP-poorten. Een IPsec uitvoeren IKE beleid opzoeken om te bepalen als het een binnenkomend pakket moet beantwoorden. Omdat IKE wordt gebruikt om te onderhandelen over beveiligingsinstellingen tussen twee hosts IPSec en IPsec filters worden alleen gebruikt voor toestaan en blokkeren controle van IKE-verkeer, zal mislukken zoeken van overeenkomende beveiligingsbeleid en zal niet beantwoordt binnenkomende aanvragen.

IKE gebruiken verschillende methoden denial of service (DoS) vermijden. Windows 2000 Service Pack 3 en Windows XP bieden verbeterde DoS IKE vollopen aanvallen te vermijden. IKE kan niet worden uitgeschakeld, onafhankelijk van de IPSec-service en het IPSec-stuurprogramma. IKE kan alleen worden uitgeschakeld door IPsec stoppen de service ook uitgeschakeld IPSec-filtering.

Als IKE wordt aanvallen vanaf Internet en is niet nodig, maar de IPSec-filtering is nodig, een aantal opties zijn beschikbaar:
  • Een blokkeerfilter voor 500 UDP-verkeer kan worden gebruikt op de standaard-gateway of firewall.
  • Een filter geavanceerde eigenschappen voor TCP/IP configureren op de Internet-interface. Gebruik alleen toestaan en voegen UDP-poorten dan nodig UDP 500.Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over deze optie:
    309798Filteren in Windows 2000 TCP/IP configureren
    Gebruik denetstat ?aopdracht Zie Open UDP-poorten.
  • Windows XP kan Internet Connection Firewall (ICF) worden ingeschakeld op de Internet-interface alle inkomende verkeer te blokkeren. Specifieke gaten kan worden geconfigureerd voor UDP-poorten dan 500 UDP.Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over ICF:
    283673Hoe inschakelen of uitschakelen van de firewall in Windows XP

Invloed van Kerberos standaarduitzondering

Met dit voorbeeld alle unilaterale binnenkomend verkeer blokkeert alle binnenkomende of uitgaande unicast Kerberos-verkeer zou worden vrijgesteld van de overeenkomende Dit filter. Daarom kan een aanvaller een unicast-UDP of TCP samenstellen pakketten die Bronpoort 88 voor toegang tot een open poort op 10.10.1.2. Dit zou een scan UDP en TCP-poort, zelfs met het filter blok inschakelen. De beheerder stelt de
NoDefaultExempt
registersleutel om aanvallen te voorkomen. Als een router filteren of Firewall wordt gebruikt, kan of kunnen dergelijke verkeer van een aanvaller afhankelijk van hoe verkeer met de Kerberos-poorten worden verwerkt.

OpmerkingVeel poort scan tools niet door dit probleem omdat deze Extra toestaan bronpoort instelt op 88 wanneer het controleren op open poorten niet plaatsvindt. Noteer ook dat veel poort scan tools ICMP-bericht in antwoord verwachten met een sonde wordt verzonden naar een TCP of UDP-poort die niet is geopend. Als IPsec ICMP-verkeer blokkeren, rapporteert het scanprogramma valselijk de poort is openen. Een netwerktracering met het hulpprogramma Netwerkcontrole gebruiken om ervoor te zorgen dat de verkeer wordt verzonden en ontvangen op het netwerk.

Wanneer de Kerberos vrijstelling wordt verwijderd en als IPsec ook gebruikt wordt voor het beveiligen van verkeer met Kerberos-verificatie in IKE de volgende IPSec-beleid ontwerpen overwegingen moeten worden gevolgd:
  • Een computer met IKE-, Kerberos-verificatie met
    NoDefaultExempt = 1
    kan niet communiceren met een peer-computer met IKE Kerberos-verificatie als deze ook niet dezelfde registersleutel. Certificaatverificatie gebruikt voor IKE in plaats van Kerberos is vereist.
  • Expliciete vrijstellingen voor Kerberos en 389 UDP-verkeer en van alle relevante DC-IP-moeten adressen worden opgegeven in het IPSec-beleid. Omdat van maart 2003, Microsoft geen IPsec ondersteunt-verkeer beveiligen filters uit een domeinlid zijn domeincontrollers toevoegen aan het IPSec-beleid expliciet dat alle verkeer naar het domeincontroller IP-adressen. Dit mogelijk dat veel filters als er veel DCs. DC IP-adressen moet toestaan permanent toegewezen aan DCs (statische IP-adressen). De filterlijst voor alle Domeincontrollers in een domein moeten handmatig worden onderhouden door de beheerder de huidige lijst van IP-adressen. Dit gemakkelijker kan worden bijgewerkt door de Als het filter geeft de DNS-naam van het domein als de bron systeembeheerder of doeladres tijdens het maken van een nieuw filter. Dit lost de domein naam tegen DNS alle huidige IP-adressen in het domein en maken voor elke afzonderlijke IP-filters. Controleer de lijst IP-adres voordat u met de de filterlijst in de productie. Toevoegen van nieuwe DC moet in een nieuw filter toevoegen deze filterlijst. Microsoft raadt het gebruik van een filterlijst voor alle domeincontrollers in een bepaalde domein wordt vervolgens gedeeld door de IPSec-beleidsregels. Zorg ervoor dat geeft de naam van de filter van de lijst IP-adres voor de laatste bijwerkingsfrequentie referentie.
Voor meer informatie over de communicatie tussen een domein controllers, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
254949IPSec-ondersteuning voor het verkeer van client-domain controller en domain controller domeincontroller verkeer

Invloed van RSVP vrijstelling

Voor een computer met RSVP aanvaller mogelijk leiden tot een denial of service door overbelasting of vervalste of schadelijke RSVP-pakketten te verzenden 10.10.1.2. Dit is het IP-adres dat wordt gebruikt in het vorige voorbeeld en deze aanval zouden omzeilen unilaterale blokkeren voor binnenkomend IPSec-filter in de voorbeeld.

Het RSVP-protocol is IP-46. Het is een signalering protocol dat wordt gebruikt te reserveren bandbreedte in routers programma verkeer.

RSVP in Windows 2000

Windows 2000 gebruikt het RSVP-protocol onder de volgende omstandigheden:
  • QoS Admission Control-Service is geïnstalleerd. Dit is een optioneel netwerkonderdeel in Windows 2000 Server-computers. Als dit geïnstalleerd, ontvangt en RSVP-verkeer verzendt.
  • Quality of Service (QoS) RSVP-service wordt uitgevoerd. Door Standaard is deze service is geïnstalleerd en geconfigureerd als autostart service. Wanneer is gestart, wordt Rsvp.exe dat de RSVP gebruikt door de service worden geladen protocol en unloads die verkeer als er geen vereist RSVP signalering. Het laadt Rsvp.exe wordt dynamisch als QoS-services nodig.
  • Een programma opent een socket met een GQoS socket-optie. De RSVP.exe wordt voortdurend signalering voor de socket beheren verkeer.
  • Depathping ?rGebruik de opdracht de RSVP-protocol bepalen als routers RSVP ingeschakeld zijn.
Voor meer informatie over de RSVP-protocol signalering, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
247103RSVP-signalering uitschakelen
Wanneer gebruikt, verzenden de service QoS RSVP RSVP niet signalering op de opgegeven interface.

RSVP in Windows XP

Het RSVP-protocol is afgeschaft in Windows XP. Hoewel de Quality of Service (QoS) RSVP-service standaard is geïnstalleerd, is geconfigureerd voor handmatig starten. De service niet verzenden of ontvangen RSVP-protocol verwerken berichten. Het registreert het RSVP-protocol, zodat de TCP/IP-stack IP ontvangt 46 Protocol type pakketten. Maar deze binnenkomende pakketten worden vervolgens verwijderd. Als de QoS RSVP-service niet is gestart, wordt het TCP/IP protocol-stack neerzetten de binnenkomende RSVP-pakket en verzendt u een ICMP-pakket 'onbereikbare bestemming' in antwoord.

Het RSVP-protocol in Windows XP alleen wordt gebruikt wanneer depathping ?rhet RSVP-protocol wordt gebruikt om te bepalen Als routers RSVP is ingeschakeld.

Bescherming tegen RSVP aanvallen

Inschakelen van IPsec beveiligen tegen aanvallen via het RSVP-protocol, moet de beheerder instellen de
NoDefaultExempt = 1
registersleutel uitschakelen RSVP vrijstelling in IPsec. In plaats daarvan u kan QoS RSVP-service uitschakelen of RSVP als protocol uitschakelen.Voor meer informatie over hoe u Klik op het volgende artikelnummer in de Microsoft Knowledge Base:
247103RSVP-signalering uitschakelen
Als de bewerking voor RSVP-protocol is vereist, expliciete toestaan dat filters kunnen worden gedefinieerd in het IPSec-beleid dat IP-protocol 46 de juiste bron en bestemming adressen. Omdat RSVP is bedoeld communiceren met routers, niet wordt aangeraden onderhandelen met IPsec beveiliging voor RSVP. RSVP kan ook een multicast-adres niet kan gebruiken filteren door IPSec.

Invloed van Broadcast en multicast-vrijstelling

Pakketten met bestemming broadcast en multicast-adressen zou niet overeenkomt met het binnenkomende filter voorbeeld omdat het binnenkomende filter heeft een het doeladres van een specifieke unicast-IP-adres (10.10.1.2). Windows 2000 en Windows XP-IPSec-filtering is niet mogelijk filter multicast of broadcast-verkeer.

Als een aanvaller broadcast of multicast-constructs pakketten en als het netwerk kan deze pakketten worden ontvangen door de computer, de aanvaller kan het IPSec-filter die wordt gebruikt in de vorige overslaan voorbeeld. De aanvaller zou hebben meestal op het lokale subnet te verrichten een aanval via dit verkeer omdat de standaard gateway-router configuratie zou ongevraagde binnenkomende multicast of broadcast doorsturen verkeer. In sommige IPSec-beleid ontwerpen die gebruikmaken van de filteroptie toestaan" onbeveiligde communicatie met computers zonder IPsec", een aanvaller mogelijk Gebruik binnenkomende multicast- of broadcast-verkeer veroorzaken een doelcomputer unicast-antwoord verzenden. Dit zou vervolgens een IKE-onderhandeling uitgaande activeren dat een zachte SA-pakket maken en openen het pad voor de aanvaller verbinding maken. Een aanvaller kan een ongeldig TCP-pakket samenstellen via een multicast of uitzending doeladres probeert IPSec-filters te omzeilen. Als een programma of het protocol wordt uitgevoerd die multicast- of broadcast-pakketten ontvangen aanvragen de aanvaller mogelijk communiceren met een programma als de aanvaller en de beide gebruikt alleen broadcast en multicast-verkeer.

Microsoft Aanbevolen IPSec-beheerder bespreken router en firewall configuratie met de netwerkbeheerder voor verdere onderzoeken de haalbaarheid van een aanval op basis van het huidige IPsec beleid.

TCP-communicatie vereist een three-way handshake die unicast-IP-verkeer wordt gebruikt, en dus ook geen multicast- of broadcast typen verkeer. In Windows 2000 en Windows XP, programma's en services gebruiken UDP en raw sockets standaard ontvangen broadcast-verkeer als is verzonden naar poorten dat de geopende programma's. Standaard Staten RFC 2644 die gestuurde uitzending verkeer moet niet door routers worden doorgestuurd. Er zijn twee typen van broadcast-verkeer kan worden gebruikt vanaf de lokale koppeling:
  • Beperkte Broadcast-adres ? Dit is als het doel-IP- adres is 255.255.255.255.
  • Netwerk voorvoegsel gestuurde Broadcast - dit is als de IP-adres is x.y.255.255 of x.y.z.255 met het juiste subnet. maskers.
Programma's meestal definiëren hun eigen model voor communicatie met Dit verkeer. Multicast- en broadcast-verkeer wordt meestal gebruikt om aanvankelijk aankondigen en ontdek een service. Vervolgens wordt de bron- en computers unicast-IP-verkeer tussen hun IP-adressen blijven gebruiken de communicatie.

Ontvangen dat UDP-programma zien broadcast-verkeer Standaard gebruikt deNetstatopdracht:
  • Windows 2000:netstat - a -p UDPEr is geen methode voor het weergeven van de programma's die deze geopend poorten.
  • Windows XP:Netstat ?ao ?p UDPDe-aoschakeloptie bevat de proces-ID te identificeren van de programma's die open poorten gebruikt.

Welke programma's kan ontvangen Multicast Verkeer?


Programma's moeten expliciet met de TCP/IP-stack te registreren binnenkomende multicast-verkeer ontvangen. Als het programma niet geregistreerd ontvangen Dit type verkeer, binnenkomende multicast-pakketten gaan verloren. Echter, multicast pakketten kunnen verwijderd bij de netwerkadapter (de meest algemene) op de miniport, de IP-laag of UDP-laag. Beheerders controleren bepalen welke multicast-verkeer worden omgeleid via het netwerk Als multicast-verkeer kan worden gebruikt om een computer aanvallen beter beoordelen. Naar bepalen welke multicast-groepen zijn verbonden door een programma:
  • Windows 2000: geen methode beschikbaar
  • Windows XP:
    1. Klik opStart, klik opUitvoeren, typcmd, en klik vervolgens opOK.
    2. Typenetsh interface ip show joins, en druk op ENTER.

Gebruik IPsec met Firewall voor Internet-verbinding

Voor Windows XP kan Internet Connection Firewall (ICF) beter voldoen aan de beveiligingsvereisten voor het filteren van verkeer. ICF filteren en kunt binnenkomende multicast- en broadcast-verkeer in Windows XP SP1 blokkeert. Echter, Firewall verkeer wordt beveiligd door IPSec-AH of ESP vervoer bekend is of tunnelmodus. IPsec is de netwerklaag onder ICF. IKE laag boven ICF. Daarom moet ICF statisch IKE (UDP-poort 500) toestaan binnenkomende, en IPsec AH of ESP-protocollen, maar de TCP- of UDP-verkeer zien niet na IPsec decapsulated heeft in de verwerking van ontvangen. Als IPsec verkeer, ICF blokkeert verloren gegane pakketten logboek bevat de pakketten die IPsec verwijderd.

IPSec-functionaliteit kan worden gecombineerd met ICF voor geavanceerde gedrag filteren. Bijvoorbeeld kan ICF alleen worden TCP-poort 445 openen vanaf elk IP-adres geconfigureerd en kan een IPSec-filter dit verder beperken tot alleen pakketten met een interne subnet worden gebruikt Als het bronadres. Bijvoorbeeld mogelijk dat IPsec is geconfigureerd onderhandelen over beveiliging voor alle verkeer maar beperkt wat de ICF-configuratie binnenkomende verbindingen mogen worden aanvaard, waardoor alleen binnenkomende IKE (UDP-poort 500) en SMB-bestandsdeling (TCP-poort 445).

Referenties

Weergeven voor meer informatie over de implementatie van TCP/IP de Implementatie van Windows 2000 TCP/IP gedetailleerd witboek. Ga hiervoor naar de volgende Microsoft-website:
http://technet.Microsoft.com/en-us/library/bb726981.aspx
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over IP-beveiliging:
253169Kan-- en kan niet--door IPSec beveiligd verkeer
254728Kerberos-verkeer tussen domeincontrollers niet is beveiligd met IPSec
308127Hoe u handmatig poorten openen in Firewall voor Internet-verbindingen in Windows XP
810207IPSec-standaard vrijstellingen worden verwijderd in Windows Server 2003

Eigenschappen

Artikel ID: 811832 - Laatste beoordeling: donderdag 3 maart 2011 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Trefwoorden: 
kbfirewall kbprb kbinfo kbmt KB811832 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:811832

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com