É possível utilizar IPsec predefinida excepções para ignorar protecção IPsec em alguns cenários

Traduções de Artigos Traduções de Artigos
Artigo: 811832 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

A funcionalidade de segurança do protocolo Internet (IPsec) no Windows 2000, Windows XP e Windows Server 2003 não foi concebida como um firewall integral baseada no anfitrião. Foi concebido para fornecer básico permitir e bloquear filtragem utilizando informações de endereço, protocolo e a porta em pacotes de rede. IPsec também foi concebido como uma ferramenta administrativa para melhorar a segurança das comunicações de forma transparente para os programas. Deste modo, fornece filtragem de tráfego que é necessário para negociar a segurança para o IPsec modo de túnel IPsec, principalmente para ambientes de intranet onde estava disponível a partir do serviço Kerberos fidedigna do computador ou para caminhos específicos através da Internet onde os certificados digitais de infra-estrutura de chaves públicas (PKI) podem ser utilizados ou de transporte.

As excepções predefinido para filtros de política de IPsec estão documentadas na ajuda online do Microsoft Windows 2000 e Microsoft Windows XP. Estes filtros possibilitam para troca de chaves da Internet (IKE, Internet Key Exchange) e Kerberos para funcionar. Os filtros também possibilitam para a rede qualidade do serviço (QoS) seja assinalado (RSVP) quando o tráfego de dados está protegido pelo IPsec e para tráfego que IPsec não pode proteger, tais como tráfego de difusão e multicast. Para obter mais informações sobre estes filtros, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
253169 O tráfego que pode--e não pode--ser protegido pelo IPsec

Mais Informação

Conforme IPsec crescente é utilizado para o firewall básico do anfitrião de filtragem de pacotes, especialmente em cenários exposta de Internet, o efeito destas excepções predefinido tem não foi totalmente compreendido. Deste modo, alguns administradores IPsec podem criar políticas IPsec que que pensam são seguras mas não são realmente seguros contra ataques de entrada que utilizam as excepções predefinido.

A Microsoft recomenda vivamente que os administradores de rede efectuar os passos neste artigo para remover as excepções predefinidas para IPSec. Isto é especialmente recomendado se IPsec é utilizado em cenários onde funcionalidade semelhante a firewall tem impedir ataques de obterem acesso à rede para o computador. Remova as excepções predefinido para Kerberos impedir que intrusos eliminando a protecção destina-se a ser fornecidos pela IPsec para determinadas configurações de política IPsec. Depois das excepções são removidas, políticas de segurança existentes poderão ter de ser alterada para funcionar correctamente.

Os administradores podem começar a planear estas alterações para todas as implementações do IPsec novas e existentes utilizando o
NoDefaultExempt=1
chave de registo em todos os computadores baseados no Windows 2000 e baseado no Windows XP. O objectivo desta chave de registo é descrito posteriormente neste artigo.

Definição de excepções de IPsec predefinida

A tabela seguinte resume os filtros equivalentes que são implementados se todas as excepções predefinidas para filtragem IPSec estiverem activadas, à medida que são por predefinição ou se
NoDefaultExempt
estiver definido como 0 .These filtro definições descrevem as excepções predefinidas aplicadas ao controlador IPsec para permitir tráfego, independentemente de outros filtros da política IPsec. Ferramentas concebidas para mostrar os detalhes do filtro de política IPSec não mostrar estas excepções nos respectivos resultados.

Equivalente filtros para
NoDefaultExempt=0
:
Reduzir esta tabelaExpandir esta tabela
Endereço de origemDestino endereçoProtocoloPorta de origemPorta de destinoAcção de filtro
O meu endereço IPQualquer endereço IPUDPQualquer88Permitir
Qualquer endereço IPO meu endereço IPUDP88Qualquer Permitir
Qualquer endereço IPO meu endereço IPUDPQualquer 88Permitir
O meu endereço IPQualquer endereço IPUDP88Qualquer Permitir
O meu endereço IPQualquer endereço IPTCPQualquer 88Permitir
Qualquer endereço IPO meu endereço IPTCP88Qualquer Permitir
Qualquer endereço IPO meu endereço IPTCPQualquer 88Permitir
O meu endereço IPQualquer endereço IPTCP88Qualquer Permitir
O meu endereço IPQualquer endereço IPUDP500500 (1)Permitir
Qualquer endereço IPO meu endereço IPUDP500500Permitir
O meu endereço IPQualquer46 (RSVP)Permitir
Qualquer endereço IPO meu endereço IP46 (RSVP)Permitir
Qualquer endereço IP<multicast> (2)Permitir
O meu endereço IP<multicast>Permitir
Qualquer endereço IP<broadcast> (3) Permitir
O meu endereço IP<broadcast>Permitir
<Tráfego de protocolo IPv6 tudo > (5)<Todos os protocolos IPv6 tráfego > (4)Permitir
Quando o endereço IP, a máscara de sub-rede é 255.255.255.255. Quando o endereço IP é qualquer, a máscara de sub-rede é 0.0.0.0.
  1. De forma a modo de transporte IPSec ser negociada através de um modo de túnel do IPSec SA, o tráfego de ISAKMP não é excluído se necessitar de passar pela primeira vez o túnel IPSec.
  2. Tráfego de multicast é definido como a classe D intervalo, com um intervalo de endereço de destino de 224.0.0.0 com um 240.0.0.0 máscara de sub-rede. Isto inclui o intervalo de endereços IP entre 224.0.0.0 e 239.255.255.255.
  3. Tráfego de difusão é definido como um endereço de destino de 255.255.255.255, o endereço de difusão limitada, ou com o ID de anfitrião parte do endereço IP definida para todos os 1s, endereço de difusão da sub-rede.
  4. IPSec não suporta a filtrar pacotes para o IP versão 6 (IPv6), excepto quando os pacotes IPv6 são encapsulados com um cabeçalho de IPv4 como IP protocolo 41. Para obter mais informações sobre o suporte IPv6 no Windows, visite o seguinte Web site da Microsoft:
    http://technet.microsoft.com/en-us/network/bb530961.aspx

Suporte de sistema operativo para NoDefaultExempt

A tabela seguinte descreve os comportamentos de excepção predefinidos em versões diferentes do Windows 2000 e Windows XP:
Reduzir esta tabelaExpandir esta tabela
Revenda, versão publicadaSP1SP2SP3SP4
Windows 2000Tem excepções predefinidas. chave
NoDefaultExempt
não é suportada.
Tem excepções predefinidas,
NoDefaultExempt
chave for suportada, os valores 0 ou 1 .
Tem excepções predefinidas. chave
NoDefaultExempt
é suportada e os valores 0 ou 1 .
Tem excepções predefinidas. chave
NoDefaultExempt
é suportada e os valores 0 ou 1 .
Altera a predefinição,
NoDefaultExempt=1
que remove excepções Kerb e RSVP.
Windows XPTem excepções predefinidas,
NoDefaultExempt
for suportada, os valores 0 ou 1 .
Tem excepções predefinidas,
NoDefaultExempt
for suportada, os valores 0 ou 1 .
Altera a predefinição,
NoDefaultExempt=1
, que remove excepções Kerb e RSVP.


Nota O IPSec no Windows 2000 e Windows XP não suporta a filtragem de tráfego multicast ou difusão.

Remoção de excepções de predefinido

A seguinte chave de registo controla o tipo de excepções para a predefinição para o IPsec:
NoDefaultExempt

Tipo de dados: REG_DWORD
Intervalo: varia:
Windows 2000: 0-1 suportadas apenas
Windows XP: 0-1 só suportado
Windows Server 2003: 0-3 suportados apenas
Comportamento (Windows 2000 e Windows XP) predefinido: 0
Comportamento (Windows Server 2003) predefinido: 3
Presentes por predefinição: não
Descrição de valores possíveis:
  • O valor 0 Especifica que multicast, difusão, RSVP, Kerberos e IKE tráfego (ISAKMP) está excluído da filtragem IPSec. Esta é a predefinição filtragem comportamento para o Windows 2000 e Windows XP. Utilize esta definição apenas se tiver para compatibilidade com uma política IPsec existente ou o comportamento do Windows 2000 e Windows XP.
  • Um valor de 1 Especifica que o tráfego Kerberos e RSVP não são excluído da filtragem IPSec, mas multicast, difusão e tráfego IKE estão isentos. Este é o valor recomendado para o Windows 2000 e Windows XP.
  • Um valor de 2 Especifica que o tráfego de difusão e multicast não são excluído da filtragem IPSec, mas estão isentos tráfego RSVP, Kerberos e IKE. Suportado apenas no Windows Server 2003.
  • O valor 3 Especifica que apenas o tráfego IKE é excluído da filtragem IPSec. Suportado apenas no Windows Server 2003. Windows Server 2003 contém este comportamento predefinido, apesar da chave de registo não existe por predefinição.
importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows


Para configurar esta chave de registo:
  1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
  2. Clique na seguinte chave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Nota No Windows Server 2008 e no Windows Vista, a chave de registo é:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Clique com o botão direito do rato em IPSEC , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
  4. Nome nesta nova entrada NoDefaultExempt .
  5. Altere o valor da chave
    NoDefaultExempt
    de 0 a 1 . Se pretender, pode utilizar um valor diferente de 1 se for adequado para o ambiente de outro valor.
  6. Saia do Editor de registo.
  7. No Windows XP, clique em Iniciar , clique em Painel de controlo e, em seguida, faça duplo clique em Ferramentas administrativas . No Windows 2000 clique em Iniciar , clique em definições , clique em Painel de controlo e, em seguida, faça duplo clique em Ferramentas administrativas .
  8. Faça duplo clique em Serviços .
  9. Pare e reinicie o serviço serviços IPSec. Windows XP requer que reinicie o computador depois de o fazer.

Efeito de excepções de predefinido

O exemplo seguinte mostra uma política Windows 2000 ou Windows XP IPSec que está configurada como um filtro unidireccional bloco. Os efeitos de aplicar um filtro de bloqueio com estas regras é que todos os tráfego é bloqueado. Esta regra de filtro é fornecida apenas para demonstrar o efeito das excepções IPSec contra esta regra:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
intenção de o administrador ?s neste exemplo consiste em bloquear todo o tráfego unicast entrada que vai para o 10.10.1.2 endereço. As secções seguintes descrevem o efeito de excepções predefinido conforme se aplicam a este filtro.

Efeito de excepção IKE

A excepção de IKE é específica de porta de origem e de destino UDP 500. IKE recebe sempre este tipo de pacote de qualquer endereço de origem devido a predefinição excepção IKE. Poderá ser possível a um intruso utilizar o IKE portas atacar IKE próprio e pode causar problemas. No entanto, as portas IKE não podem ser utilizadas para atacar outras portas UDP ou TCP abertas. IKE efectuará uma IPsec pesquisa de política para determinar se deve responder a um pacote de entrada. Porque IKE é utilizado para negociar definições de segurança entre dois anfitriões de IPSec e IPsec, filtros são utilizados apenas para permitir e bloco de controlo de tráfego de IKE não vai conseguir localizar uma política de segurança correspondente e não responderá a pedidos.

IKE utilizar vários métodos de negação de serviço (DoS) evitar. Windows 2000 Service Pack 3 e Windows XP fornecem melhorados DoS evitar a IKE congestionamento ataques. IKE não pode ser desactivado independente do serviço IPsec e do controlador IPsec. IKE só pode ser desactivado por parar o IPsec serviço também desactiva a filtragem IPsec.

Se IKE está a ser atacado a partir da Internet e não é necessária, mas filtragem IPsec é necessária, um número de opções está disponível:
  • Um filtro para tráfego de UDP 500 bloqueio pode ser utilizado no gateway predefinido ou firewall.
  • Configure um filtro de propriedades avançadas de TCP/IP na interface da Internet. Utilize Permitir só e, em seguida, adicione portas UDP necessário diferente UDP 500. Para obter mais informações sobre como utilizar esta opção, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    309798Como configurar a filtragem no Windows 2000 TCP/IP
    Utilizar o comando netstat ? a para ver abrir as portas UDP.
  • No Windows XP o Firewall de ligação À Internet (ICF) pode ser activado na interface da Internet para bloquear todo o tráfego receber. Furos específicos podem ser configurados para as portas UDP diferente UDP 500.Para mais informações sobre o ICF, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    283673Como activar ou desactivar o firewall do Windows XP

Efeito de excepção de Kerberos predefinida

Com este exemplo bloqueia todo tráfego de entrada unidireccional, todos os unicast de enviado ou recebido tráfego Kerberos poderia ser excluído da correspondência este filtro. Deste modo, um intruso pode construir um pacote UDP ou TCP unicast que utiliza a porta de origem 88 para aceder a qualquer porta aberta no 10.10.1.2. Isto permitiria uma pesquisa da porta UDP e TCP, mesmo com o filtro de bloqueio. O administrador tem de definir a chave de registo
NoDefaultExempt
para impedir ataques. Se um router ou firewall filtragem estiver na utilização, pode ou não permitir esse tráfego de um intruso, dependendo de como este processa o tráfego que está a utilizar as portas de Kerberos.

Nota Várias ferramentas de verificação de porta não detectam este comportamento, porque estas ferramentas não permitem definir a porta de origem para 88 quando ocorre a verificação de portas abertas. Repare também que muitas ferramentas de verificação de porta esperam uma mensagem ICMP em resposta a uma sondagem é enviada para uma porta TCP ou UDP que não está aberta. Se o IPsec estiver a bloquear o tráfego ICMP, a ferramenta digitalização poderá reportar afirmar que a porta está aberta. Utilize um rastreio de rede com a ferramenta Monitor de rede para se certificar de que o tráfego está a ser enviados e recebidos da rede.

Quando os Kerberos excepção é removida e se IPsec também é utilizado para proteger o tráfego utilizando a autenticação Kerberos de IKE, devem ser seguidas as considerações de concepção de política IPsec seguintes:
  • Um computador que está a utilizar autenticação Kerberos de IKE com
    NoDefaultExempt=1
    não é possível comunicar com um computador de peer está a utilizar autenticação Kerberos de IKE se também não tem o mesmo valor de chave de registo. Utilize autenticação de certificados para IKE em vez de Kerberos onde é necessário.
  • Tem de especificar excepções explícitas para tráfego de Kerberos e UDP 389 e para todos os endereços IP de DC relevantes na política IPsec. Porque de Março de 2003, a Microsoft não suporta IPsec proteger o tráfego a partir de um membro de domínio para os controladores de domínio, adicione filtros à política IPsec para permitir explicitamente tráfego todos os endereços IP do controlador de domínio. Isto poderá requerer que muitos filtros de permissão se existirem vários endereços de DC. DC tem de estar permanentemente atribuídos a DC (endereços IP estáticos). A lista de filtros para todos os DC num domínio deve ser mantida manualmente pelo administrador para que a lista actual dos endereços IP. Isto pode ser facilmente actualizado pelo administrador se o filtro Especifica o nome DNS do domínio como o endereço de origem ou destino durante a criação de um novo filtro. Isto resolve o nome de domínio com o DNS para todos os endereços IP actuais no domínio e criar filtros para cada IP individuais. Verifique se a lista de endereços IP antes de utilizar a lista de filtros de produção. Adicionar um novo CD necessitará de adicionar um novo filtro nesta lista de filtros. Microsoft recomenda que utilize uma lista de filtros para todos os DC num determinado domínio, em seguida, é partilhada através de regras da política IPsec. Certifique-se de que o nome de lista do filtro indica o último tempo de actualização da lista de endereços IP para facilitar a consulta.
Para obter mais informações sobre a comunicação entre controladores de domínio, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
254949Suporte de IPSec para tráfego de controlador de domínio do cliente e o tráfego de controlador para o domínio de controlador de domínio

Efeito de excepção de RSVP

Para um computador que utiliza o RSVP, um intruso poderá provocar um denial-of-service por congestionamento ou enviar pacotes RSVP fraudulentos ou maliciosos para 10.10.1.2. Este é o endereço IP que é utilizado no exemplo anterior e este ataque poderia ignorar o filtro de IPsec do bloco de entrada unidireccional no exemplo.

O protocolo RSVP é protocolo IP 46. É um protocolo de sinalização que é utilizado para reservar a largura de banda em routers para tráfego de programa.

RSVP no Windows 2000

Windows 2000 utiliza o protocolo RSVP nas seguintes circunstâncias:
  • O serviço de controlo de admissão QoS está instalado. Este é um componente funcionamento em rede opcional em computadores com o Windows 2000 Server. Se estiver instalado, recebe e envia tráfego RSVP.
  • O serviço de qualidade do serviço (QoS) RSVP está em execução. Por predefinição, este serviço está instalado e configurado como um serviço de início automático. Quando é iniciado, o serviço carrega o programa Rsvp.exe que utiliza o RSVP protocolo e descarregamento-lo se não existir nenhum tráfego que requer RSVP sinalização. Carrega o programa Rsvp.exe dinamicamente quando os serviços de QoS são necessários.
  • Um programa é aberto um socket com uma opção de socket GQoS. O programa Rsvp.exe é executado continuamente para gerir a sinalização para o tráfego de socket.
  • O comando pathping ?r utiliza o protocolo RSVP para determinar se os routers são RSVP activado.
Para obter mais informações sobre como desactivar o protocolo RSVP sinalização, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
247103Como desactivar a sinalização RSVP
Quando utilizado, o serviço QoS RSVP não envia de sinalização RSVP na interface especificada.

RSVP no Windows XP

O protocolo RSVP foi preterido no Windows XP. Apesar do serviço de qualidade do serviço (QoS) RSVP é instalado por predefinição, está configurado para um início manual. O serviço não enviar nem processar mensagens de protocolo RSVP recebidas. Ainda regista o RSVP protocolo para a pilha de TCP/IP recebe IP 46 pacotes de tipo de protocolo. Mas estes pacotes de entrada, em seguida, são eliminadas. Se o serviço QoS RSVP não é iniciado, a pilha do protocolo TCP/IP vai largar receber pacotes RSVP e envie um pacote ICMP de "destino inatingível" na resposta.

Windows XP utiliza apenas o protocolo RSVP quando o comando pathping ?r utiliza o protocolo RSVP para determinar se os routers são RSVP activado.

Proteger contra RSVP ataques

Para activar o IPsec para proteger contra ataques potenciais utilizando o protocolo RSVP, o administrador tem de definir o
NoDefaultExempt=1
chave de registo para desactivar a excepção de RSVP no IPsec. Em vez disso, pode desactivar o serviço QoS RSVP ou desactivar RSVP como um protocolo.Para obter mais informações sobre como fazê-lo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
247103Como desactivar a sinalização RSVP
Se a operação de protocolo RSVP for necessária, filtros de permissão explícitos podem ser definidos na política IPsec para permitir o protocolo IP 46 para endereços de origem e de destino apropriados. Porque RSVP foi concebido para comunicar com routers, Microsoft não recomenda a utilização do IPsec para negociar a segurança de RSVP. Note que o RSVP também pode utilizar um endereço multicast que não pode ser filtrado pelo IPSec.

Efeito de difusão e multicast de excepção

Pacotes com endereços de destino de difusão e multicast não corresponderiam o filtro de entrada exemplo porque o filtro de entrada tem um endereço de destino de um endereço IP de unicast específico (10.10.1.2). Filtragem de IPsec do Windows XP e Windows 2000 não possibilitam a filtrar tráfego de difusão ou multicast.

Se um intruso constrói pacotes de difusão e multicast e se da rede permite que estes pacotes recebidos pelo computador, o intruso pode ignorar o filtro IPsec que é utilizado no exemplo anterior. Normalmente, o intruso teria de estar na sub-rede local para efectuar um ataque utilizando este tráfego uma vez que a configuração do router de gateway predefinido não reencaminhar o entrada multicast ou de difusão tráfego não solicitado. Em algumas estruturas de política de IPsec que utilizam a opção de filtro para ? permitir comunicação não segura com computadores utilizem IPsec não ?, um intruso pode ser capaz de utilizar multicast ou tráfego de difusão de entrada para que um computador de destino enviar uma resposta de unicast. Em seguida, isto seria accionar uma negociação IKE de saída que irá criar um pacote por software SA e abrir o caminho para o intruso ligar. Um intruso pode construir um pacote TCP inválido utilizando um endereço de destino de difusão e multicast para tentar ignorar filtros IPsec. Se um programa ou o protocolo está em execução que os pedidos a receber pacotes de difusão e multicast, o atacante poderá conseguir comunicar com esse programa se o intruso e o programa utilizam apenas o tráfego de difusão e multicast.

A Microsoft recomenda que o administrador de IPsec descrevem a configuração de router e firewall com o administrador da rede para continuar a investigar a exequibilidade de um ataque que se baseia o IPsec actual políticas.

Comunicação baseada em TCP requer um handshake tridireccional que utiliza o tráfego IP unicast e portanto não pode utilizar tipos de tráfego multicast ou difusão. No Windows 2000 e Windows XP, programas e serviços que utilizam UDP e sockets não processados por predefinição recebem tráfego de difusão se tiver enviado para as portas que os programas abertos. Por predefinição, estados de RFC 2644 que direccionou o tráfego de difusão não devem ser reencaminhados pelos routers. Existem dois tipos de tráfego de difusão que podem ser utilizados da ligação de local:
  • Endereço de difusão limitada ? isto é se o IP de destino endereço é 255.255.255.255.
  • Difusão de directo de prefixo de rede - isto é se o endereço de destino x.y.255.255 ou x.y.z.255 com máscaras de sub-rede apropriada.
Programas normalmente definir seu próprio modelo de comunicação, utilizando este tráfego. Normalmente, tráfego de difusão e multicast é utilizado para anunciar inicialmente e descobrir um serviço. Em seguida, os computadores de origem e de destino utilizará unicast tráfego entre os respectivos endereços IP para continuar a comunicação.

Para ver programas UDP que irão receber tráfego de difusão por predefinição, utilize o comando netstat :
  • Windows 2000: netstat - a -p UDP não existe nenhum método para apresentar os programas que abrir estas portas.
  • Windows XP: netstat ?ao ? p UDP O -to parâmetro mostra o ID do processo para ajudar a identificar os programas que utilizam portas abertas.

Que programas podem receber tráfego multicast?


Programas explicitamente tem de registar com a pilha de TCP/IP para receber tráfego multicast. Se o programa não estiver registado para receber este tipo de tráfego, pacotes multicast de entrada são ignorados. No entanto, podem ser largados pacotes multicast na placa de rede (o mais comum) no miniport, a camada IP ou a camada UDP. Os administradores devem verificar para determinar os tipos de tráfego multicast são encaminháveis através da rede para avaliar melhor se tráfego multicast pode ser utilizado para atacar o computador. Para determinar qual multicast grupos tem sido associados por um programa:
  • Windows 2000: nenhum método disponível
  • Windows XP:
    1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, clique em OK .
    2. Escreva netsh interface ip show joins e, em seguida, prima ENTER.

Utilizar o IPsec com o Firewall de ligação À Internet

Para o Windows XP, o Firewall de ligação À Internet (ICF) pode cumprir melhor requisitos de segurança para filtrar tráfego. O ICF filtrar e pode bloquear tráfego de difusão e multicast entrada no Windows XP SP1. No entanto, o ICF não tem conhecimento de tráfego que está protegido por AH de IPsec ou o ESP em modo de transporte ou túnel. IPsec está a ser a camada de rede abaixo ICF. IKE é sobreposto acima ICF. Deste modo, o ICF deve permitir estaticamente IKE (porta UDP 500) de entrada e não verá os protocolos AH de IPsec ou ESP, mas o tráfego TCP ou UDP depois de IPsec tem decapsulated-o processamento de recepção. Se IPsec bloquear tráfego, o registo de pacotes do ICF ignorado não conterá os pacotes IPsec rejeitado.

Funcionalidade de IPsec pode ser combinada com ICF filtragem de comportamento de filtragem avançado. Por exemplo, o ICF só pode ser configurado para abrir a porta TCP 445 a partir de qualquer endereço IP e pode ser utilizado um filtro de IPsec para restringir mais esta a apenas os pacotes que contêm uma subrede interna como o endereço de origem. Outro exemplo pode ser que o IPsec está configurada para negociar a segurança para todo o tráfego, mas a configuração ICF restringe as ligações de entrada têm permissão para ser aceite, de permitindo apenas a entrada IKE (UDP porta 500) e partilha (porta TCP 445) de ficheiros SMB.

Referências

Para mais informações sobre a implementação de TCP/IP, consulte a documentação técnica Windows 2000 TCP/IP detalhado implementação. Para o fazer, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/bb726981.aspx
Para obter mais informações sobre segurança IP, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
253169Tráfego que podem--e não é possível--ser protegido por IPSec
254728IPSec não protege o tráfego de Kerberos entre controladores de domínio
308127Como abrir manualmente portas no firewall de ligação À Internet no Windows XP
810207IPSec predefinida excepções são removidas no Windows Server 2003

Propriedades

Artigo: 811832 - Última revisão: 8 de fevereiro de 2008 - Revisão: 7.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional Edition
Palavras-chave: 
kbmt kbfirewall kbprb kbinfo KB811832 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 811832

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com