IPsec domyślne wykluczenia mogą być używane do obejścia ochrony IPsec w niektórych scenariuszach

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 811832 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Funkcja zabezpieczeń protokołu internetowego (IPsec) systemu Windows 2000, Windows XP i Windows Server 2003 nie został zaprojektowany jako w pełni funkcjonalne zapora oparta na hoście. Został zaprojektowany do zapewnienia podstawowych zezwolenia i bloku Filtrowanie przy użyciu adresu, protokołu i portu informacji w pakietach sieciowych. Protokół IPsec został zaprojektowany także jako narzędzie administracyjne do zwiększenia bezpieczeństwa Komunikacja w sposób niewidoczny dla programów. Z tego powodu zapewnia ona ruchu z filtrowania jest niezbędne do negocjowania zabezpieczeń IPSec Tryb transportu lub trybu tunelowania IPsec, głównie w środowiskach intranetowych gdzie stanowiska zaufania była dostępna z usługi Kerberos lub do określonych ścieżek w Internecie w przypadku gdy publiczny klucz certyfikaty cyfrowe infrastruktury kluczy może być używany.

Wyłączenia domyślne zasady IPsec, filtry są opisane w Pomocy online systemu Microsoft Windows 2000 i Microsoft Windows XP. Te filtry umożliwiają Internet Key Exchange (IKE) i protokołu Kerberos do Funkcja. Filtry umożliwiają im również dla sieci, jakość usługi Usługi (QoS) jest sygnalizowane (RSVP), gdy ruch danych jest zabezpieczony przez protokół IPsec i dla ruch IPsec nie może zabezpieczyć takich jak ruchu emisji i multiemisji. Aby uzyskać więcej informacji informacje te filtry kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
253169 Ruch, który można — i nie zabezpieczone przez protokół IPsec

Więcej informacji

IPsec jest coraz częściej używana do zapory podstawowej hosta filtrowanie, szczególnie w scenariuszach narażonych Internet wpływu pakietów wyłączenia te domyślne nie zostały w pełni zrozumiałe. Z tego powodu niektóre IPsec Administratorzy mogą tworzyć zasady IPsec, które uważają, że są bezpieczne, ale nie są faktycznie zabezpieczone przed atakami przychodzących, które korzysta z domyślnych zwolnienia.

Firma Microsoft zdecydowanie zaleca sieci administratorzy podejmie kroki w tym artykule, aby usunąć domyślne wykluczenia z protokołem IPSec. To jest szczególnie zalecane, jeśli IPsec jest używane w scenariuszach, w przypadku gdy podobne zapory funkcja musi przez nieupoważnione osoby dostępu sieciowego do komputer. Usuń domyślne wykluczenia dla protokołu Kerberos uniemożliwić osobom atakującym defeating ochrony, przeznaczony dla niektórych zapewnianej przez protokół IPsec Konfiguracji zasad IPsec. Po usunięciu zwolnień, istniejące zasady zabezpieczeń może być zmieniony na pracę poprawnie.

Administratorzy mogą rozpocząć zaplanować te zmiany dla wszystkich istniejących i nowych wdrożeń IPsec przy użyciu
NoDefaultExempt = 1
klucz rejestru na wszystkich komputerów z systemem Windows 2000 i systemem Windows XP komputery. Cel ten klucz rejestru jest opisanych dalej w tym artykuł.

Definicja protokołu IPsec, domyślnego wykluczenia

W następującej tabeli podsumowano równoważne filtrów, które są gdy włączone są wszystkie domyślne wyłączeń z filtrowania IPSec, ich są domyślnie, lub jeśli
NoDefaultExempt
jest ustawiona na0.Domyślne wykluczenia, które opisują tych definicji filtru stosowane w sterownik IPsec, aby umożliwić ruch, niezależnie od innych zasad IPsec filtry. Narzędzia zaprojektowane, aby wyświetlić szczegóły filtrów zasad IPSec nie Pokaż te zwolnienia w ich wyników.

Filtry równoważne
NoDefaultExempt = 0
:
Zwiń tę tabelęRozwiń tę tabelę
Adres źródłowyMiejsce docelowe AdresProtokółPort źródłowyMiejsce docelowe PortAkcja filtrowania
Mój adres IPDowolny adres IP AdresUDPWszelkie88Zezwolenia
Dowolny adres IPMoje IP AdresUDP88Wszelkie Zezwolenia
Dowolny adres IPMój adres IPUDPWszelkie 88Zezwolenia
Mój adres IPDowolny adres IP AdresUDP88Wszelkie Zezwolenia
Mój adres IPDowolny adres IPTCPWszelkie 88Zezwolenia
Dowolny adres IPMoje IP AdresTCP88Wszelkie Zezwolenia
Dowolny adres IPMój adres IPTCPWszelkie 88Zezwolenia
Mój adres IPDowolny adres IP AdresTCP88Wszelkie Zezwolenia
Mój adres IPDowolny adres IP AdresUDP500500 (1)Zezwolenia
Dowolny adres IPMoje IP AdresUDP500500Zezwolenia
Mój adres IPWszelkie46 (RSVP)Zezwolenia
Dowolny adres IPMój adres IP46 (RSVP)Zezwolenia
Dowolny adres IP<multicast>(2)</multicast>Zezwolenia
Moje IP Adres<multicast></multicast>Zezwolenia
Dowolny adres IP<broadcast>(3)<b00></b00></broadcast>Zezwolenia
Moje IP Adres<broadcast></broadcast>Zezwolenia
<all ipv6="" protocol="" traffic="">(5)</all><all ipv6="" protocol="" traffic="">(4)</all>Zezwolenia
Gdy jest określony adres IP, maska podsieci jest 255.255.255.255. Kiedy adres IP jest dowolny, maska podsieci jest 0.0.0.0.
  1. W celu tryb transportu protokołu IPSec ma być negocjowany za pośrednictwem Tryb tunelowania IPSec SA, jeżeli potrzebuje do przekazywania nie jest wykluczany ruch sieciowy protokołu ISAKMP za pomocą protokołu IPSec najpierw tunelu.
  2. Ruch multiemisji zdefiniowano z zakresu klasy D, zakres adresów docelowych 224.0.0.0 z 240.0.0.0 maskę podsieci. To obejmuje zakres adresów IP od 224.0.0.0 do 239.255.255.255.
  3. Ruch emisji jest zdefiniowana jako adres docelowy 255.255.255.255, ograniczony adres, emisji lub jako posiadające identyfikator hosta część adresu IP ustawiony na wszystkie 1s emisji podsieci adres.
  4. Protokół IPSec nie obsługuje filtrowania dla protokołu IP w wersji 6 (IPv6) pakiety, z wyjątkiem przypadków, kiedy pakiety IPv6 jest hermetyzowany z nagłówkiem IPv4 jako protokół IP protokół 41. Aby uzyskać więcej informacji dotyczących obsługi protokołu IPv6 w systemie Windows, odwiedź witrynę witrynie sieci Web firmy Microsoft:
    http://technet.microsoft.com/en-us/Network/bb530961.aspx

Obsługa systemu operacyjnego NoDefaultExempt

W poniższej tabeli opisano domyślne zachowania zwolnienia w różnych wersjach systemu Windows 2000 i Windows XP:
Zwiń tę tabelęRozwiń tę tabelę
Detal, zwolnione WersjaZ DODATKIEM SP1Z DODATKIEM SP2Z DODATKIEM SP3Z DODATKIEM SP4
System Windows 2000Ma domyślne wykluczenia.
NoDefaultExempt
klucz nie jest obsługiwany.
Ma domyślne wykluczenia
NoDefaultExempt
klucz jest obsługiwany, a wartości 0 lub 1.
Ma domyślne wykluczenia.
NoDefaultExempt
klucz jest obsługiwany, a wartości 0 lub 1.
Ma domyślne wykluczenia.
NoDefaultExempt
klucz jest obsługiwany, a wartości 0 lub 1.
Zmiany domyślnego
NoDefaultExempt = 1
Usuwa z wyłączeń postoju i protokołu RSVP.
System Windows XPMa domyślne wykluczenia
NoDefaultExempt
jest obsługiwana, a wartości 0 lub 1.
Ma domyślne wykluczenia
NoDefaultExempt
jest obsługiwana, a wartości 0 lub 1.
Zmiany domyślnego
NoDefaultExempt = 1
, który usuwa zwolnienia postoju i protokołu RSVP.


Uwaga Protokół IPSec w systemie Windows 2000 i Windows XP nie obsługuje filtrowania emisji lub multiemisji.

Usunięcie domyślnego wykluczenia

Następujący klucz rejestru określa typ domyślne wykluczenia protokołu IPsec:
NoDefaultExempt

Typ danych: REG_DWORD
Zakres: zależy od:
System Windows 2000: obsługiwane tylko 0-1
Windows XP: 0-1 obsługiwane tylko
System Windows Server 2003: 0-3 obsługiwany tylko
Domyślne zachowanie (system Windows 2000 i Windows XP): 0
Domyślne zachowanie (Windows Server 2003): 3
Domyślnie: nr
Opis możliwości wartości:
  • Wartość 0 Określa, że multiemisji, emisji, protokołu RSVP, Kerberos i usługi IKE Ruch (ISAKMP) są wykluczone z filtrowania IPSec. Jest to wartość domyślna filtrowania zachowanie systemu Windows 2000 i Windows XP. Użyj tego ustawienia tylko wtedy, gdy do dla zachowania zgodności z istniejących zasad IPsec lub systemu Windows 2000 i Windows XP zachowanie.
  • Wartość 1 Określa, że ruch Kerberos i RSVP nie są zwolnione z Filtrowanie IPSec, ale multiemisji, emisji i ruch IKE są wyłączone. Jest to Zalecaną wartością dla systemu Windows 2000 i Windows XP.
  • Wartość 2 Określa, że ruchu multiemisji i emisji nie jest wyłączony z protokołu IPSec, filtrowanie, ale ruch protokołu RSVP, protokołu Kerberos i usługi IKE są wyłączone. Obsługiwane tylko w systemie Windows Server 2003.
  • Wartość 3 Określa, czy wyłączony z filtrowania IPSec jest tylko ruch IKE. Obsługiwany tylko w systemie Windows Server 2003. Windows Server 2003 zawiera to zachowanie domyślne, mimo że nie istnieje w kluczu rejestru przez Domyślnie.
Ważne Niniejszej sekcji, metodzie lub zadania zawiera kroki, które informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. Należy więc dokładnie wykonaj następujące kroki. Aby zapewnić dodatkową ochronę kopii zapasowej rejestru przed przystąpieniem do modyfikacji. Następnie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących sposobu tworzenia kopii zapasowych i przywracania rejestru kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows


Aby skonfigurować ten klucz rejestru:
  1. Kliknij przycisk Start, kliknij przycisk Uruchom, Typ regedit, a następnie kliknij przycisk OK.
  2. Kliknij następujący klucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Uwaga W systemie Windows Server 2008 i Windows Vista jest klucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Kliknij prawym przyciskiem myszy PROTOKÓŁ IPSEC, wskaż polecenieNowy, a następnie kliknij przycisk Wartość DWORD.
  4. Nazwa tego nowego wpisuNoDefaultExempt.
  5. Zmień wartość
    NoDefaultExempt
    klucz z 0 Aby 1. Jeśli chcesz, można użyć wartości innej niż 1 Jeśli innej wartości najlepiej dostosowane do danego środowiska.
  6. Zamknij Edytor rejestru.
  7. W systemie Windows XP kliknij przycisk Start, kliknij przyciskW Panelu sterowania, a następnie kliknij dwukrotnie Administracyjne Narzędzia. W systemie Windows 2000, kliknij Start, kliknij przyciskUstawienia, kliknij przycisk W Panelu sterowania, a następnie Kliknij dwukrotnie ikonę Narzędzia administracyjne.
  8. Kliknij dwukrotnie ikonę Usługi.
  9. Zatrzymaj i ponownie uruchom usługę usługi IPSec. System Windows XP wymaga ponownego uruchomienia komputera po wykonaniu.

Wpływają na domyślne wykluczenia

W poniższym przykładzie pokazano systemu Windows 2000 lub Windows XP IPSec zasady, który jest skonfigurowany jako filtr jednokierunkowe. Efekty stosowania Blok filtru z tych zasad jest, że cały ruch przychodzący jest blokowany. To reguły filtru jest dostarczany tylko do wykazania wpływu wykluczeń IPSec od tej reguły:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
Opcje administratora w tym przykładzie jest blokowanie wszystkich przychodzących ruch emisji pojedynczej, które ma 10.10.1.2 adres IP. Następujące sekcje opisują wpływają na domyślne wykluczenia, jako że odnoszą się do tej Filtr.

Wpływ na zwolnienie IKE

Wyłączenie usługi IKE jest określony źródłowy i docelowy port UDP 500. IKE zawsze będzie otrzymywał ten typ pakietu z dowolnego adresu źródła, z powodu domyślne wyłączenia usługi IKE. Może być osoba atakująca może używać usługi IKE porty ataku IKE sam i prawdopodobnie powodować problemy. Jednakże porty IKE nie może być wykorzystywana do atakowania innych otwartych portów UDP lub TCP. Usługa IKE wykona IPsec Wyszukiwanie zasad, aby określić, jeśli należy odpowiedzieć na pakiet przychodzący. Ponieważ Usługa IKE jest używany do negocjowania ustawień zabezpieczeń między dwoma hostami IPSec i protokołu IPsec filtry są używane tylko dla zezwolenia i bloku kontroli ruchu IKE nie powiedzie się Znajdowanie pasującego zasad zabezpieczeń i nie będzie odpowiadał na przychodzące żądania.

Usługa IKE za pomocą różnych metod typu odmowa usługi (DoS) unikanie. Dodatek Service Pack 3 dla systemu Windows 2000 i Windows XP zapewnia ulepszone DoS unikanie do zalewania ataki usługi IKE. Usługa IKE nie może być wyłączone niezależnie od Usługi IPsec i sterownika IPsec. IKE można wyłączyć tylko przez zatrzymanie IPsec Usługa, która powoduje wyłączenie filtrowania IPsec.

Jeśli jest IKE zaatakowany z Internetu i nie jest potrzebna, ale filtrowania IPsec jest wymagany, dostępne są opcje:
  • Filtr blokujący dla ruchu UDP 500 mogą być używane w domyślne bramy lub zapory.
  • Konfigurowanie filtrów zaawansowanych właściwości TCP/IP na Interfejs internetowy. Pozwalaj tylko za pomocą, a następnie dodaj wymagane inne niż porty UDP UDP 500.Więcej informacji na temat korzystania z tej opcji kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    309798 bazy wiedzySposobu konfigurowania filtrowania TCP/IP w systemie Windows 2000
    Użyj polecenie netstat –a polecenia Zobacz Otwórz porty UDP.
  • W systemie Windows XP może być Zapora połączenia internetowego (ICF) włączony na interfejsie internetowym, aby zablokować cały ruch przychodzący. Szczególne otwory można skonfigurować do portów UDP innych niż 500 protokołu UDP.Więcej informacji na temat zapory ICF kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    283673Jak włączyć lub wyłączyć zaporę w systemie Windows XP

Wpływ na zwolnienie domyślnego protokołu Kerberos

W tym przykładzie, która blokuje cały ruch przychodzący jednokierunkowe wszystkie Emisja pojedyncza przychodzący lub wychodzący ruch Kerberos byliby zwolnieni z dopasowywania Ten filtr. W związku z tym osoba atakująca, której można konstruować emisji pojedynczej, UDP lub TCP pakiet używa portu źródłowego 88 otwartego portu na 10.10.1.2 dostęp do. To umożliwiłoby skanowania portu UDP i TCP, nawet z bloku filtru. W Administrator musi ustawić
NoDefaultExempt
klucz rejestru, aby zapobiec atakom. Jeśli router filtrowania lub Zapora jest używany, może lub mogą nie zezwalać taki ruch od osoby atakującej, w zależności od sposobu obsługi ruchu, który używa portów protokołu Kerberos.

Uwaga Wiele narzędzi do skanowania portu nie wykryć tego zachowania, ponieważ te narzędzia zezwala na ustawienie portu źródłowego w 88 wyboru, aby otworzyć porty występuje. Należy również zauważyć, że wiele narzędzi do skanowania portu oczekują komunikatu ICMP w odpowiedzi aby sonda, które są wysyłane do portu TCP lub UDP, który nie jest otwarty. Jeśli protokół IPsec jest Zablokowanie ruchu ICMP, narzędzie do skanowania może fałszywie zgłaszać port jest Otwórz. Aby upewnić się, że należy użyć śledzenia sieci za pomocą narzędzia Monitor sieci ruch jest wysyłane i odbierane w sieci.

Gdy Kerberos Zwolnienie jest usuwany, i jeśli IPsec jest również używany do zabezpieczania ruchu sieciowego przy użyciu Uwierzytelnianie Kerberos w IKE następujące projektowanie zasad IPsec Uwagi dotyczące musi następować:
  • Komputer korzysta z uwierzytelniania IKE Kerberos
    NoDefaultExempt = 1
    nie można komunikować się z komputera równorzędnego, który używa usługi IKE Uwierzytelnianie Kerberos, jeśli także nie ma tę samą wartość klucza rejestru. Korzystanie z uwierzytelniania certyfikatów usługi IKE, zamiast protokołu Kerberos, gdy jest to wymagane.
  • Jawne zwolnień dla ruch Kerberos i UDP 389 i od kontrolera domeny wszystkie odpowiednie adresy musi być określona w zasadach IPsec. Ponieważ z marca 2003 r. Firma Microsoft nie obsługuje protokołu IPsec, zabezpieczanie ruchu od członka domeny do jego kontrolerów domeny należy dodać filtry zasad IPsec Aby jawnie zezwolić na cały ruch do adresów IP kontrolerów domeny. To mogą wymagać, aby wiele filtrów zezwalających w przypadku musi być wiele adresów IP kontrolera domeny kontrolerów domeny. trwale przypisana do DCs (statyczne adresy IP). Lista filtrów dla wszystkich Kontrolerów domeny w domenie muszą być utrzymywane w ręcznie przez administratora mają Bieżąca lista adresów IP. To może być łatwiej aktualizowana przez Administrator, jeśli filtr Określa nazwę DNS domeny jako źródło lub docelowego adresu podczas tworzenia nowego filtru. Problem został rozwiązany domena nazwa przeciwko DNS na wszystkie bieżące adresy IP w domenie i tworzenie filtry dla każdego indywidualnego IP. Sprawdź listę adresów IP przed za pomocą Lista filtrów w produkcji. Dodawanie nowego kontrolera domeny będzie wymagać dodania nowego filtru w tej listy filtrów. Firma Microsoft zaleca używanie jednej listy filtrów dla wszystkich kontrolerów domeny w określonej domeny, który następnie jest współużytkowane przez reguły zasad IPsec. Upewnij się, że Nazwa listy filtrów wskazuje czas ostatniej aktualizacji listy adresów IP łatwe odniesienie.
Aby uzyskać więcej informacji dotyczących komunikacji między domenami kontrolery, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
254949Obsługa protokołu IPSec dla ruchu kontrolera domeny przez klienta i ruchu kontrolera domeny przez kontroler domeny

Wpływ na zwolnienie RSVP

Komputer używa protokołu RSVP, osoba atakująca może być może wywołać odmowa usługi powodzi lub wysyłanie pakietów protokołu RSVP fałszywymi lub złośliwymi do 10.10.1.2. To jest adres IP, który jest używany w poprzednim przykładzie, i atak ominięcie jednokierunkowe, przychodzące bloku filtru IPsec w przykład.

Protokół RSVP jest protokołem IP 46. Jest sygnalizacji Protokół używany do rezerwowania przepustowości routerach program ruchu.

RSVP w systemie Windows 2000

System Windows 2000 używa protokołu RSVP w ramach następujących okoliczności:
  • Usługa QoS Admission Control jest zainstalowany. Jest to opcjonalny składnik sieciowy w komputerach z systemem Windows 2000 Server. Jeśli jest to zainstalowany, odbiera i wysyła ruch protokołu RSVP.
  • Usługa RSVP jakości usługi (QoS) jest uruchomiona. Przez Domyślnie usługa ta jest zainstalowany i skonfigurowany jako usługa autostart. Kiedy jest uruchomiona, usługa ładuje program Rsvp.exe, który używa protokołu RSVP wymaga protokołu RSVP, protokołu i zwalnia je, jeśli istnieje nie ruchu Sygnalizowanie. Dynamicznie ładuje Rsvp.exe program w przypadku usług QoS potrzebne.
  • Program otwiera gniazda z opcją gniazda GQoS. W RSVP.exe program działa w sposób ciągły do zarządzania sygnalizacji gniazda ruch w sieci.
  • W polecenie pathping –r polecenie używa Protokół RSVP, aby sprawdzić, czy routery są włączone RSVP.
Aby uzyskać więcej informacji na temat sposobu wyłączania protokołu RSVP sygnalizacja, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
247103Jak wyłączyć sygnalizacji RSVP
Kiedy używane, Usługa QoS RSVP nie wysyła RSVP Sygnalizacja na określonym interfejsie.

RSVP w systemie Windows XP

Protokół RSVP została zaniechana w systemie Windows XP. Chociaż Jakość usługi RSVP usługi (QoS) jest instalowany domyślnie, jest skonfigurowany do ręcznego uruchamiania. Usługa wysyłania lub nie przetwarza odebrane protokołu RSVP wiadomości. Nadal program rejestruje protokół RSVP, stos protokołu TCP/IP odbiera IP pakiety typu protokołu 46. Jednak te pakiety przychodzące są odrzucane następnie. Jeśli Usługa QoS RSVP nie jest uruchomiona, będzie porzucać stos protokołu TCP/IP pakiet przychodzący RSVP, a następnie wysłać pakiet ICMP "miejsce docelowe nieosiągalne" odpowiedź.

System Windows XP używa tylko protokołu RSVP podczas polecenie pathping –r w poleceniu użyto do określenia protokołu RSVP Jeśli routery są włączone RSVP.

Ochrona przed RSVP ataki

Aby włączyć na ochronę przed potencjalnymi atakami przy użyciu protokołu IPsec Protokół RSVP administrator musi ustawić
NoDefaultExempt = 1
klucz rejestru, aby wyłączyć wyłączenie protokołu RSVP, protokołu IPSec. Zamiast tego możesz można wyłączyć usługę QoS RSVP lub wyłączyć protokół RSVP jako protokół.Aby uzyskać więcej informacji na temat tak więc kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
247103Jak wyłączyć sygnalizacji RSVP
Jeśli operacja protokołu RSVP jest wymagane, jawne zezwolenia mogą być definiowane filtrów w zasadach IPsec, aby umożliwić protokołu IP 46 odpowiednie adresy źródłowe i docelowe. Ponieważ celem protokołu RSVP komunikowanie się z routerami, firma Microsoft zaleca korzystania z protokołu IPsec do negocjowania zabezpieczenia protokołu RSVP. Uwaga RSVP mogą również użyć adresu multiemisji, który nie filtrowane przez protokół IPSec.

Wpływu emisji i multiemisji zwolnienia

Czy pakiety przy użyciu adresów multiemisji i emisji docelowej niezgodny filtr przychodzący przykład ponieważ filtr przychodzący adres docelowy adres IP określonego emisji pojedynczej (10.10.1.2). System Windows 2000 i filtrowania IPsec systemu Windows XP nie stwarzają możliwość filtrowania multiemisji lub ruch emisji.

Jeśli osoba atakująca konstrukcje multiemisji lub emisji pakiety i jeśli sieci pozwala na te pakiety odebrane przez komputer, może ominąć filtru IPsec, który jest używany w poprzednim przykład. Zazwyczaj osoba atakująca musiałaby się w podsieci lokalnej do prowadzenia atak przy użyciu tego ruchu, ponieważ routera bramy domyślnej Konfiguracja nie będzie przekazuje niepożądany przychodzący multiemisji lub emisji ruch w sieci. W niektórych zasad IPsec, które używają opcji filtr "Zezwalaj komunikacja niezabezpieczona z komputerem bez protokołu IPsec", osoba atakująca może być Aby użyć ruch multiemisji lub emisji przychodzące sprawić, że komputer docelowy Aby wysłać odpowiedź emisji pojedynczej. To spowoduje następnie wywołanie wychodzące negocjacji IKE będzie utworzyć pakiet programowy SA i Otwórz ścieżkę dla osobie atakującej Połącz z. Osoba atakująca może utworzyć nieprawidłowy pakiet TCP przy użyciu multiemisji lub adres docelowy, spróbuj ominąć filtry IPsec emisji. Jeśli program lub że działa protokół żądania do odbierania pakietów multiemisji lub emisji Osoba atakująca może mieć możliwość komunikowania się z tego programu, jeśli osoba atakująca i program używają tylko ruchu emisji i multiemisji.

Microsoft Zaleca się, że IPsec administrator omówienia router i zaporę Konfiguracja z administratorem sieci w celu dalszego zbadania wykonalność takiego ataku, opartą na bieżącym IPsec zasady.

Uzgadniania trójstopniowego wymaga komunikacji protokołu TCP, używa ruch IP emisji pojedynczej i dlatego nie można używać multiemisji lub emisji typy ruchu. W przypadku systemu Windows 2000 i Windows XP, programy i usługi wykorzystujące UDP i gniazd domyślnie otrzymują ruch emisji, jeśli jest wysyłany do portów Aby otworzyć programów. Domyślnie RFC 2644 stwierdza, że bezpośrednich emisji ruch nie mogą być przekazywane przez routery. Istnieją dwa inne rodzaje ruch emisji, używany z łącza lokalnego:
  • Adres emisji ograniczonej — jest to jeśli docelowy adres IP adres jest 255.255.255.255.
  • Emisja wskazówkami prefiks sieci - jest to jeśli docelowy adres IP jest x.y.255.255 lub x.y.z.255 odpowiedniej podsieci maski.
Programy zwykle definiować własne modelu komunikacji przy użyciu Ten ruch. Ruch multiemisji i emisji jest zazwyczaj stosowany do początkowo Ogłoś i odnajdowanie usługi. Następnie komputery źródłowy i docelowy będzie ruch IP emisji pojedynczej między ich adresy IP, aby kontynuować Komunikacja.

Aby wyświetlić programy UDP, które odbiorą ruch emisji Domyślnie, polecenie netstat polecenia:
  • System Windows 2000: polecenie netstat - UDP -pNie ma metody wyświetlania programów, które są otwarte porty.
  • System Windows XP: polecenie netstat –ao –p UDP W -ao Przełącznik zawiera identyfikator procesu, aby pomóc w zidentyfikowaniu programów, korzystają z otwartych portów.

Jakie programy mogą odbierać multiemisji Ruch?


Programy jawnie musisz się zarejestrować na stosie protokołu TCP/IP, aby odbierać przychodzące dane multiemisji. Jeśli program nie został zarejestrowany do odbierania Ten typ ruchu, przychodzące pakiety multiemisji są opuszczane. Jednakże multiemisji można upuszczać pakietów w karcie sieciowej (najczęściej używanymi) w Miniport warstwy IP lub warstwa UDP. Należy sprawdzić, Administratorzy określić, jakie typy ruchu danych multiemisji są routowalny poprzez sieć do lepiej ocenić, jeśli ruch multiemisji może być używana do zaatakowania komputera. Aby Aby określić grupy multiemisji, które zostały połączone przez program:
  • System Windows 2000: nie dostępnych metod
  • System Windows XP:
    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
    2. Typ netsh interface ip show sprzężenia, a następnie naciśnij klawisz ENTER.

Zapora połączenia internetowego przy użyciu protokołu IPsec

W systemie Windows XP może lepiej zapory połączenia internetowego (ICF) spełniać wymagania zabezpieczeń do filtrowania ruchu. Zapora połączenia internetowego, filtrować i można Zablokowanie przychodzącego ruchu emisji i multiemisji w systemie Windows XP z dodatkiem SP1. Jednak zapora ICF -nie wie o ruchu chronionego przez protokół IPsec AH lub ESP w transporcie lub Tryb tunelowania. Protokół IPsec jest w warstwie sieci poniżej Zapora połączenia internetowego. Usługa IKE jest wzorowany powyżej Zapora połączenia internetowego. Z tego powodu ICF statycznie powinien umożliwić IKE (UDP port 500) przychodzących, i nie zobaczą protokołów IPsec AH lub ESP, ale ruch TCP lub UDP po IPsec została decapsulated w przetwarzanie odbierania. Jeśli protokół IPsec blokuje ruch, Zapora ICF dzienniku porzuconych pakietów nie będzie zawierać pakiety tego protokołu IPsec odrzucone.

Funkcje protokołu IPsec można połączyć razem z zapory ICF Filtrowanie zaawansowane filtrowanie zachowanie. Na przykład można tylko ICF skonfigurowane tak, aby można było otworzyć portu TCP 445 z dowolnego adresu IP i filtrów IPsec może używane do bardziej ograniczyć to tylko pakiety zawierające wewnętrznej podsieci jako adres źródłowy. Innym przykładem może być konfigurowania protokołu IPsec do Negocjuj protokół zabezpieczeń dla całego ruchu, ale konfiguracja zapory ICF ogranicza co połączenia przychodzące są dozwolone do zaakceptowania, pozwalających tylko przychodzące IKE (UDP port 500) i (port port TCP 445) udostępniania plików SMB.

Materiały referencyjne

Aby uzyskać więcej informacji o implementacji protokołu TCP/IP, wyświetlanie Oficjalny implementacji szczegółowy TCP/IP w systemie Windows 2000. Aby to zrobić, odwiedź witrynę witrynie sieci Web firmy Microsoft:
http://technet.microsoft.com/en-us/library/bb726981.aspx
Aby uzyskać więcej informacji na temat zabezpieczeń IP kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
253169Ruch, który można — i nie zabezpieczone przez protokół IPSec
254728 Protokół IPSec nie zabezpieczać ruch Kerberos między kontrolerami domeny
308127 Sposób ręcznego otwierania portów w Zaporze połączenia internetowego w systemie Windows XP
810207 Protokół IPSec domyślne wykluczenia są usuwane w systemie Windows Server 2003

Właściwości

Numer ID artykułu: 811832 - Ostatnia weryfikacja: 23 czerwca 2011 - Weryfikacja: 2.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Słowa kluczowe: 
kbfirewall kbprb kbinfo kbmt KB811832 KbMtpl
Przetłumaczone maszynowo
WAŻNE: Ten artykuł nie został przetłumaczony przez człowieka, tylko przez oprogramowanie do tłumaczenia maszynowego firmy Microsoft. Firma Microsoft oferuje zarówno artykuły tłumaczone przez ludzi, jak i artykuły tłumaczone maszynowo, dzięki czemu każdy użytkownik może uzyskać dostęp do całej zawartości bazy wiedzy Knowledge Base we własnym języku. Prosimy jednak pamiętać, że artykuły przetłumaczone maszynowo nie zawsze są doskonałe. Mogą zawierać błędy słownictwa, składni i gramatyki, przypominające błędy robione przez osoby, dla których język użytkownika nie jest językiem ojczystym. Firma Microsoft nie odpowiada za wszelkie nieścisłości, błędy lub szkody spowodowane nieprawidłowym tłumaczeniem zawartości oraz za wykorzystanie tej zawartości przez klientów. Oprogramowanie do tłumaczenia maszynowego jest często aktualizowane przez firmę Microsoft.
Anglojęzyczna wersja tego artykułu to:811832

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com