Ipsec varsayılan muafiyetleri bazı senaryolar, ıpsec koruması atlayacak şekilde kullanılabilir:

Makale çevirileri Makale çevirileri
Makale numarası: 811832 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Windows 2000, Windows XP ve Windows Server 2003 ınternet Protokolü güvenliği (ıpsec) özelliği, tam özellikli ana bilgisayar tabanlı duvarına tasarlanmamıştır. Temel izni ve ağ paketlerini adres, iletişim kuralı ve bağlantı noktası bilgilerini kullanarak süzme bloğu sağlamak için tasarlanmıştır. Ipsec Ayrıca, programlar için saydam bir şekilde iletişim güvenliğini artırmak için bir yönetim aracı tasarlanmıştır. Bu nedenle, trafik için ıpsec güvenlik anlaşması için gerekli olan süzme sağladığı mod veya ıpsec tünel modu, öncelikle makine güven Kerberos hizmetini kullanılabilir intranet ortamlarında veya ortak anahtar altyapısı (PKI), dijital sertifikalar kullanılabilir ınternet üzerinden özel yollar için transport.

Varsayılan muafiyetleri için ıpsec ilke filtreleri Microsoft Windows 2000 ve Windows XP'ye çevrimiçi yardımda belgelenmiştir. Bu süzgeçler için ınternet anahtar değişimi (IKE) ve Kerberos işlevini sağlar. Süzgeçleri de için ağ hizmet kalitesi sağlar (RSVP), veri trafiği, ıpsec tarafından güvenlik altına alınır ve trafiği, ıpsec gibi çok noktaya yayın ve yayın trafiği güvenli. (QoS) için sinyal. Bu filtreleri hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
253169 --Ve edemiyor--trafik ıpsec tarafından güvenlik altına alınması

Daha fazla bilgi

Gibi ıpsec giderek temel ana bilgisayar güvenlik duvarı paketi, özellikle ınternet kullandığı senaryolarda süzmek için kullanılan bu varsayılan muafiyetleri etkisini tam olarak anlaşılan değil. Bu, bazı ıpsec Yöneticiler güvenli olduğunu düşündüğünüz bir ıpsec ilkeleri oluşturabilir, ancak gerçekte varsayılan muafiyetleri kullanan gelen saldırılara karşı güvenli değildir.

Microsoft, ağ yöneticileri ıpsec için varsayılan muafiyetleri kaldırmak için bu makaledeki adımlar gerçekleştirmenizi önerir. Ipsec burada güvenlik duvarı benzer işlevsellik saldırganlar ağ bilgisayarınıza erişmesini engellemeye gerekir senaryolarda kullanılıyorsa, bu özellikle önerilir. Saldırganlar, belirli bir ıpsec ilkesi yapılandırmaları için ıpsec tarafından sağlanacak amaçlanan koruma defeating gelen önlemek Kerberos için varsayılan muafiyetleri kaldırın. Varolan güvenlik ilkelerini muafiyetleri kaldırıldıktan sonra düzgün çalışması için değiştirilmesi gerekebilir.

Yöneticiler, kullanarak tüm varolan ve yeni ıpsec dağıtımları için bu değişiklikleri planlamak başlatabilirsiniz
NoDefaultExempt=1
kayıt defteri anahtarını tüm Windows 2000 tabanlı ve Windows XP tabanlı bilgisayarlarda. Bu kayıt defteri anahtarı'nın amacı, bu makalenin sonraki bölümlerinde açıklanmıştır.

Ipsec varsayılan muafiyetleri tanımı

Aşağıdaki tabloda, bunlar varsayılan olarak veya
NoDefaultExempt
.These süzgeç tanımlarına 0 olarak ayarlanmışsa, ıpsec sürücüsü, diğer ıpsec ilkesi süzgeçlerini ne olursa olsun, trafiğe izin vermek için uygulanan varsayılan muafiyetleri açıklayan ıpsec filtre için tüm varsayılan muafiyetleri etkinse uygulanır eşdeğer filtreler özetler. ıpsec ilke süzgeç ayrıntıları göstermek amacıyla tasarlanmış Araçlar bu muafiyetleri, sonuçlarda gösterme.

Için eşdeğer filtreler
NoDefaultExempt=0
:
Bu tabloyu kapaBu tabloyu aç
Kaynak adresiHedef adresProtokolKaynak bağlantı noktasıHedef bağlantı noktasıEylem süzme
IP AdresimHerhangi bir IP adresiUDPTüm88Izin verme
Herhangi bir IP adresiIP AdresimUDP88Tüm Izin verme
Herhangi bir IP adresiIP AdresimUDPTüm 88Izin verme
IP AdresimHerhangi bir IP adresiUDP88Tüm Izin verme
IP AdresimHerhangi bir IP adresiTCPTüm 88Izin verme
Herhangi bir IP adresiIP AdresimTCP88Tüm Izin verme
Herhangi bir IP adresiIP AdresimTCPTüm 88Izin verme
IP AdresimHerhangi bir IP adresiTCP88Tüm Izin verme
IP AdresimHerhangi bir IP adresiUDP500500 (1)Izin verme
Herhangi bir IP adresiIP AdresimUDP500500Izin verme
IP AdresimTüm46 (rsvp)Izin verme
Herhangi bir IP adresiIP Adresim46 (rsvp)Izin verme
Herhangi bir IP adresi<multicast>(2)Izin verme
IP Adresim<multicast>Izin verme
Herhangi bir IP adresi<broadcast>(3) Izin verme
IP Adresim<broadcast>Izin verme
<Tüm ıpv6 iletişim kuralı trafiğini > (5)<Tüm ıpv6 iletişim kuralı trafiğini > (4)Izin verme
Belirtilen IP adresi, alt ağ maskesi 255.255.255.255 olur. IP adresi herhangi biri, alt ağ maskesi 0.0.0.0'dır.
  1. ıpsec tünel üzerinden önce geçmesi gereken, sırasıyla bir ıpsec tünel modu ŞA anlaşamaya, ıpsec taşıma modu için ISAKMP trafiği bırakılır değil.
  2. Çok noktaya yayın trafiğini sınıf D aralığı, 224.0.0.0 bir 240.0.0.0 olan bir hedef adresi aralığı olarak tanımlanan alt ağ maskesi. Bu, IP adresleri 224.0.0.0 ile 239.255.255.255 içerir.
  3. Yayın trafiğini bir hedef adresi ' 255.255.255.255 sınırlı yayın adresini veya ana bilgisayar KIMLIĞI olarak tanımlanan tüm 1s için IP adresini bir bölümünü ayarlamak alt ağ yayın adresi.
  4. Ipsec, IP sürüm 6 (ıpv6) için paket süzme desteklemiyor, ne zaman ıpv6 paketlerinin olarak IP bir ıpv4 üstbilgisiyle kapsüllenir dışında 41 iletişim kuralı. Windows, ıpv6 desteği hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
    http://technet.microsoft.com/en-us/network/bb530961.aspx

NoDefaultExempt işletim sistemi desteği

Aşağıdaki tabloda, Windows 2000 ve Windows XP bir çeşitli sürümlerinde bulunan varsayılan dışarıda bırakma davranışlar açıklanmaktadır:
Bu tabloyu kapaBu tabloyu aç
Perakende, yayımlanan sürümüSP1SP2SP3SP4'Ü
WINDOWS 2000Varsayılan olarak dışarıda bırakmaları vardır.
NoDefaultExempt
anahtar desteklenmiyor.
Varsayılan olarak dışarıda bırakmaları vardır,
NoDefaultExempt
anahtarının desteklenir, değerleri 0 veya 1.
Varsayılan olarak dışarıda bırakmaları vardır.
NoDefaultExempt
anahtarının desteklenir, değerleri 0 veya 1.
Varsayılan olarak dışarıda bırakmaları vardır.
NoDefaultExempt
anahtarının desteklenir, değerleri 0 veya 1.
Varsayılan olarak, değişiklikleri
NoDefaultExempt=1
, Kerb ve RSVP muafiyetleri kaldırır.
WINDOWS XPVarsayılan olarak dışarıda bırakmaları vardır,
NoDefaultExempt
desteklenen değerler 0 veya 1.
Varsayılan olarak dışarıda bırakmaları vardır,
NoDefaultExempt
desteklenen değerler 0 veya 1.
Varsayılan olarak, değişiklikleri
NoDefaultExempt=1
, Kerb ve RSVP muafiyetleri kaldırır.


Not Ipsec Windows 2000 ve Windows XP'de, yayın veya çok noktaya yayın trafiğini filtre uygulamayı desteklemiyor.

Varsayılan muafiyetleri kaldırma

Aşağıdaki kayıt defteri anahtarını, ıpsec için varsayılan muafiyetleri türünü denetler:
NoDefaultExempt

Veri türü: REG_DWORD
Aralık: değişir:
<a1>Windows</a1> 2000: 0-1, yalnızca desteklenen
Windows XP: 0-1 yalnızca desteklenen
Windows Server 2003: 0-yalnızca desteklenen 3
Varsayılan davranış (Windows 2000 ve Windows XP): 0
Varsayılan davranış (Windows Server 2003): 3
Varsayılan değer var: Hayır
Olası değerler açıklaması:
  • 0 Değeri belirleyen çok noktaya yayın, yayın, RSVP, Kerberos ve IKE (ISAKMP) trafiğini ıpsec filtresinin dışında. Bu davranış, Windows 2000 ve Windows XP için süzme varsayılandır. Yalnızca, varolan bir ıpsec ilkesi ya da Windows 2000 ve Windows XP davranışı ile uyumluluk için gerekirse, bu ayarı kullanın.
  • 1 Değeri, Kerberos ve RSVP trafiğini ıpsec filtresinin dışında değildir, ancak çok noktaya yayın, yayın ve IKE trafiği dışındadır belirtir. Windows 2000 ve Windows XP için önerilen değer budur.
  • 2 Değeri, çok noktaya yayın ve yayın trafiği ıpsec filtresinin dışında değildir, ancak muafiyet RSVP, Kerberos ve IKE trafiği belirtir. Yalnızca Windows Server 2003'te desteklenmiyor.
  • Bir değeri 3, yalnızca IKE trafiği ıpsec filtresinin dışında olduğunu belirtir. Yalnızca Windows Server 2003'te desteklenmiyor. Windows Server 2003, kayıt defteri anahtarının varsayılan olarak yok, ancak bu varsayılan davranışı içerir.
Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defterini yedekleme ve geri yükleme


Bu kayıt defteri anahtarı'nı yapılandırmak için <a0></a0>:
  1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, regedit yazın ve Tamam ' ı tıklatın.
  2. Aşağıdaki kayıt defteri anahtarını tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Not Windows Server 2008 ve Windows Vista'da, kayıt defteri anahtarı şöyledir:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. IPSEC ' ı sağ tıklatın, Yeni ' nin üzerine gelin ve sonra DWORD değeri ' ni tıklatın.
  4. Bu yeni girdiyi adlandırmak NoDefaultExempt.
  5. NoDefaultExempt
    </a0> anahtarının değerini, 0 ', 1 bir için değiştirin. Isterseniz, ortamınıza en uygun başka bir değer ise 1 dışında bir değer kullanabilirsiniz.
  6. Kayıt Defteri Düzenleyicisi'nden çıkın.
  7. Windows XP'de, Başlat ' ı tıklatın, Denetim Masası ' nı tıklatın ve sonra Yönetimsel Araçlar ' ı çift tıklatın. Windows 2000'de Başlat ' ı tıklatın, Ayarlar ' ı tıklatın, Denetim Masası ' nı tıklatın ve sonra Yönetimsel Araçlar ' ı çift tıklatın.
  8. Hizmetler'i çift tıklatın.
  9. Durdurun ve sonra da ıpsec Services hizmeti yeniden başlatın. Windows Bunu yaptıktan sonra bilgisayarı yeniden başlatın, XP gerektirir.

Varsayılan muafiyetleri etkisini

Aşağıdaki örnek, bir tek yönlü bir engelleme filtresi yapılandırılmış bir Windows 2000 veya Windows XP ıpsec ilkesini gösterir. Bu kurallar içeren bir engelleme filtresi uygulama etkileri olan tüm gelen trafik engellenir. Süzgeç kuralın, yalnızca bu kural karşı ıpsec muafiyetleri etkisini göstermek için sağlanan:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
için 10.10.1.2 IP adresi gittiği tüm gelen tek noktaya yayın trafiğini engellemek için bu örnekte, yönetici çubuğundaki hedefi olan. Aşağıdaki bölümler, oldukları için bu süzgeci uygulamak gibi varsayılan muafiyetleri etkisini açıklamaktadır.

IKE muafiyet etkisini

Kaynak ve hedef bağlantı noktası için UDP IKE muafiyet özgüdür 500. IKE, IKE muafiyet varsayılan nedeniyle herhangi bir kaynak adresinden bu tür bir paket her zaman alır. Bir saldırganın IKE kullanmak mümkün olabilir IKE kendisini saldırmak ve belki de sorunlara yol, bağlantı noktaları. Ancak, IKE bağlantı noktaları, diğer açık UDP veya TCP bağlantı noktaları saldırmak için kullanılamaz. IKE, bir ıpsec gerçekleştireceğiniz ilke araması için gelen bir paketin yanıtlaması, belirlenemiyor. IKE güvenlik ayarlarını belirlemek için kullanılan iki ıpsec ana makinesi, arasında ıpsec süzgeçleri yalnızca izin için kullanılır ve engelleme denetim trafiği, IKE, eşleşen bir güvenlik ilkesi'ni bulmak başarısız olur ve gelen istekleri yanıtlayabilir.

IKE, <a1>hizmet</a1> (DoS) kaçınma reddi çeşitli yöntemleri kullanın. Windows 2000 Service Pack 3 ve Windows XP için gelişmiş bir DoS sağlamak için IKE saldırıların taşmasını kaçınma. IKE ve ıpsec hizmeti ıpsec sürücüsünün gelen bağımsız devreden edemiyor. IKE yalnızca IPsec durdurma devreden çıkarılabilir hizmeti de ıpsec süzme işlemini devre dışı bırakır.

IKE ınternet'ten saldırıya ve gerekli değildir, ancak ıpsec süzme için gerekli bir dizi seçenek kullanılabilir:
  • UDP 500 trafik için önleyici BIR süzgeç bir varsayılan ağ geçidi veya güvenlik duvarı kullanılabilir.
  • TCP/IP Özellikleri Gelişmiş filtre, ınternet arabiriminde yapılandırın. Seçilene kullanın ve UDP bağlantı noktaları, UDP 500 dışında gerekli ekleyin. Bu seçeneğin kullanılması hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    309798Windows 2000'de TCP/IP filtresi nasıl yapılandırılır
    Netstat –a komutunu Bkz: UDP bağlantı noktalarını açın.
  • Windows XP'de ınternet Bağlantısı Güvenlik Duvarı'nı (ICF) tüm gelen trafiği engellemek için ınternet arabiriminde etkinleştirilebilir. Belirli bir delik, UDP bağlantı noktaları UDP 500'den için yapılandırılabilir.ICF hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    283673Windows XP'de güvenlik duvarı nasıl açılır veya kapatılır

Kerberos varsayılan muafiyet etkisini

Tek yönlü gelen tüm trafiği engeller bu örnekte, tek noktaya tüm gelen ve giden yayın Kerberos trafiğini bu süzgeç ile eşleşen gelen dışlandığı. Bu nedenle, bir saldırganın kaynak bağlantı noktası 88 10.10.1.2 sırasında herhangi bir açık bağlantı erişmek için kullandığı bir tek noktaya yayın UDP veya TCP paket gerçekleştirebilmesi. Bu bir UDP ve TCP bağlantı noktası Tarama Engelleme Filtresi'ile bile etkinleştirir. Yönetici, saldırıların engellenmesine
NoDefaultExempt
kayıt defteri anahtarını ayarlamalıdır. Süzgeç bir yönlendirici veya güvenlik duvarı kullanımdaysa, olabilir veya gelen, Kerberos bağlantı noktalarını kullanan trafiğin nasıl işlendiğini bağlı olarak, bir saldırganın bu trafiğe izin vermeyebilir.

Not Bu araçlar açık bağlantı noktaları için onay ortaya çıktığında, kaynak bağlantı noktası 88 için ayarlama izin vermeyin, çünkü birçok bağlantı noktası Tarama Aracı, bu davranış algılamaz. Ayrıca, bir ICMP iletisi birçok bağlantı noktası Tarama Aracı, açık olmayan bir TCP veya UDP bağlantı noktasına gönderilen bir Yoklama Yanıtı beklenen unutmayın. Ipsec, ICMP trafiğini engelliyor, tarama aracının sizi bağlantı noktasının açık olduğunu bildirir. Trafiği yüklenmekte olan emin olmak için bir ağ izlemesi ağ izleyicisi aracıyla kullanın ağda gönderilip.

Zaman Kerberos muafiyet kaldırılır ve ıpsec IKE Kerberos kimlik doğrulaması'nı kullanarak trafiğin güvenliğini sağlamak için de kullanılır, aşağıdaki ıpsec ilke tasarım konuları gelmelidir:
  • IKE, Kerberos kimlik doğrulaması kullanan BIR bilgisayara
    NoDefaultExempt=1
    , ayrıca aynı kayıt defteri anahtarı değeri yoksa, IKE, Kerberos kimlik doğrulamasını kullanarak bir eş bilgisayar ile iletişim kuramıyor. IKE, Kerberos, bu gerekli olduğu yerine için sertifika kimlik doğrulaması'nı kullanın.
  • Açık muafiyetleri tüm ilgili DC IP adreslerine giden ve gelen Kerberos ve UDP 389 trafik için ıpsec ilkesinde belirtilmiş olmalı. Mart 2003 itibariyle, Microsoft, trafiğin, etki alanı üyesi, etki alanı denetleyicilerine güvenliğini ıpsec ile desteklemediği için açıkça etki alanı denetleyicisi IP adreslerine tüm trafiğe izin vermek için ıpsec ilkesi filtreleri ekleyin. Bu, birçok DC'ler DC IP adresi (statik IP adresleri) DC'ye kalıcı olarak atanmalıdır varsa çoğu izin verme filtrelerini gerektirebilir. Bir etki alanındaki tüm DC'ler için süzgeç listesi, geçerli IP adresleri listesini sağlamak için yönetici tarafından el ile saklanması gerekir. Süzgeç kaynak veya hedef adresi olarak yeni bir süzgeç oluşturma sırasında etki alanının DNS adını belirtirse bu daha kolay yönetici tarafından güncelleştirilebilir. Bu etki alanındaki tüm geçerli IP adresleri DNS etki alanı adını çözümler ve için tek tek her IP filtreleri oluşturun. IP adres listesi önce üretim süzgeç listesini kullanarak doğrulayın. Yeni bir DC ekleyerek bu süzgeç listesinde yeni bir süzgeç ekleme gerektirir. Microsoft, ıpsec ilkesi kuralları arasında paylaşılan sonra belirli bir etki alanındaki tüm DC'ler için bir süzgeç listesi kullanmanızı önerir. IP adres listesi son güncelleştirme zamanının kolay başvuru için süzgeç listesinin adı gösterdiğinden emin olun.
Etki alanı denetleyicileri arasındaki iletişimin hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
254949Istemci etki alanı denetleyicisinde trafiği ve etki alanı denetleyicisinin etki alanı denetleyicisinde trafik için ıpsec desteği

RSVP muafiyet etkisini

RSVP kullanan bir bilgisayar için bir saldırganın taşmasını veya sahte veya kötü amaçlı, RSVP paketleri için 10.10.1.2 gönderen bir hizmet reddine neden mümkün olabilir. Bu, önceki örnekte kullanılan IP adresidir ve bu saldırıyı örnekte, tek yönlü bir gelen bloğu ıpsec süzgeç atlayacak.

RSVP IP protokol 46 protokolüdür. Bunu bant yönlendiricileri program trafik için rezerve etmek için kullanılan bir sinyal iletişim kuralıdır.

Windows 2000'de RSVP

Windows 2000, RSVP iletişim kuralı aşağıdaki koşullarda kullanır:
  • QoS Giriş Denetimi hizmeti yüklenir. Windows 2000 Server bilgisayarlarda bulunan isteğe bağlı ağ bileşeni budur. Bu yüklü ise, alır ve RSVP trafiğini gönderir.
  • Hizmet Kalitesi (QoS) RSVP hizmetinin çalışıyor. Varsayılan olarak, bu hizmetin yüklenir ve bir otomatik başlatma hizmet olarak yapılandırılmış. Başlatıldığında, bu hizmetin RSVP kullanan RSVP.exe program yükler iletişim kuralını ve bunu gerektiren bir trafik varsa, RSVP sinyal kaldırır. QoS Hizmetleri gerektiğinde RSVP.exe program dinamik olarak yükler.
  • Bir program olan bir yuvayı GQoS yuva seçeneğiyle açar. Yuva trafik için sinyal yönetmek için RSVP.exe program sürekli olarak çalışır.
  • RSVP iletişim kuralı pathping –r</a0> komutu, yönlendiriciler, RSVP etkin olup olmadığını belirlemek için kullanır.
Sinyal RSVP iletişim kuralı'nı devre dışı bırakma hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
247103RSVP sinyal devre dışı bırakma
QoS RSVP hizmeti, bu seçenek kullanıldığında, belirtilen arabirimde olarak RSVP işaretleme göndermez.

Windows XP'de RSVP

RSVP iletişim kuralı, Windows XP'DEKI itiraz. Hizmet Kalitesi (QoS) RSVP hizmeti varsayılan olarak yüklenir, ancak bunu el ile bir başlatma için yapılandırıldı. Hizmetin değil göndermek veya alınan RSVP iletişim kuralı iletileri işleyecek. Yine de kaydeder, RSVP iletişim kuralı (IP TCPIP yığın alır; böylece protokol 46 tür paketleri. Ancak, bu giden paketleri sonra atılır. QoS RSVP hizmeti başlatılmazsa, TCP/IP protokol yığını gelen RSVP paket bırakma ve sonra bir ICMP "hedefe erişilemiyor" paketini, yanıt olarak gönderebilirsiniz.

Pathping –r</a0> komutu, yönlendiriciler, RSVP etkin olup olmadığını belirlemek için RSVP iletişim kuralı kullanıyorsa, Windows XP, yalnızca RSVP iletişim kuralını kullanır.

RSVP karşı koruma saldırıları

RSVP iletişim kuralı'nı kullanarak, olası saldırılara karşı korumak ıpsec etkinleştirmek için <a0></a0>, yönetici ayarlamalıdır
NoDefaultExempt=1
RSVP muafiyet olarak ıpsec devre dışı bırakmak için kayıt defteri anahtarı. Bunun yerine, QoS RSVP hizmeti devre dışı bırakın veya bir iletişim kuralı olarak RSVP devre dışı bırakabilirsiniz.Bunu yapma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
247103RSVP sinyal devre dışı bırakma
RSVP iletişim kuralı işlemi gerekirse, ıpsec ilkesi, IP protokol 46 uygun kaynak ve hedef adresleri için izin vermek için açık izin filtreleri tanımlanabilir. RSVP yönlendiricileri ile iletişim kurmak için olduğu için Microsoft RSVP için güvenlik anlaşması için ıpsec kullanarak önermez. Not, RSVP, ıpsec tarafından filtrelenmiş bir çok noktaya yayın adresi de kullanabilirsiniz.

Güvenlik açığının etkisini yayın ve çok noktaya yayın muafiyet

Gelen süzgeci, bir <a1>ııswebdirectory</a1> (10.10.1.2) belirli bir tek noktaya yayın IP adresi hedef adresi olduğundan paketleri hedef, çok noktaya yayın ve yayın adresleriyle örnek gelen süzgeci eşleşir değil. Windows 2000 ve Windows XP ıpsec süzme değil olun, çok noktaya yayın veya yayın trafiğini süzmek olası.

Saldırganın, saldırganın yayın veya çok noktaya yayın paketleri oluşturur ve bu paketler, bilgisayarın alınmak üzere ağ izin verirse, önceki örnekte kullanılan ıpsec süzgeç atlayabilirsiniz. Genellikle saldırganın, saldırının, varsayılan ağ geçidi yönlendiricisinin yapılandırmasını, istenmeyen gelen çok noktaya yayın veya yayın trafiğini iletmek için bu trafik kullanarak yürütmek için yerel alt ağda olması gerekir. Yayın trafiğini gelen tek noktaya yayın yanıtı göndermek bir hedef bilgisayara neden ya da bir saldırganın “ iletişimi olmayan ıpsec tanımayan bilgisayarla güvenli olmayan izin ver ” süzgeç seçeneğini kullanan bazı ıpsec ilke tasarım çok noktaya yayın kullanabilmek için olabilir. Bu, daha sonra yumuşak ŞA bir paket oluşturmak ve bağlanmak saldırganın yol açma giden IKE anlaşması tetikleyecektir. Bir saldırganın geçersiz bir TCP paketi, ıpsec filtreleri atlamak için bir çok noktaya yayın veya yayın hedef adresi kullanarak oluşturmak. Çok noktaya yayın veya yayın paketlerini almak için bir program veya iletişim kuralını çalıştırıyorsa, istekleri saldırganın yalnızca yayın ve çok noktaya yayın trafiğini saldırganın ve program kullanıyorsanız, programla iletişim kuramayabilir olabilir.

Microsoft, ıpsec yönetici'nin daha olasılığı geçerli IPsec temel tür saldırının araştırmak için ağ yöneticisiyle yönlendiricisi ve güvenlik duvarı yapılandırmasını tartışın önerir ilkeleri.

TCP tabanlı iletişim, tek noktaya yayın IP trafiği kullanır ve bu nedenle çok noktaya yayın veya yayın trafik türlerini kullanamazsınız üç yönlü el sıkışma gerektirir. Programları açık bağlantı noktalarına gönderilen Windows 2000 ve Windows XP'de, programları ve Hizmetleri, varsayılan olarak UDP ve işlenmemiş Yuvalar kullanan yayın trafiğini alır. Varsayılan olarak, yayın trafiğini yönlendiren bir RFC 2644 durumları yönlendiricilerle iletilmesine gerekir değil. Yerel bağlantısından kullanılan yayın trafiğini diğer iki tür vardır:
  • Adres sınırlı yayın – Bu, hedef IP adresidir, 255.255.255.255.
  • Ağ öneki yönlendirilmiş yayını - bu hedef IP adresini x.y.255.255 veya uygun bir alt ağ maskeleri ile x.y.z.255 olmasıdır.
Programlar genellikle bu trafiği'ni kullanarak kendi iletişim modelini tanımlayın. Normal olarak çok noktaya yayın ve yayın trafiği, başlangıçta kullanýlabilir olduà ° unu duyurmak ve hizmet bulmak için kullanılır. Daha sonra kaynak ve hedef bilgisayarların, tek noktaya yayın IP trafiği arasındaki iletişimin devam etmek için IP adreslerini kullanır.

UDP yayın trafiğini varsayılan olarak alacaktır programları görmek için <a0></a0>, netstat komutu kullanın:
  • Windows 2000'de: netstat - a -p UDP Bu bağlantı noktaları açıldı programları görüntülemek için herhangi bir yöntemi yok.
  • Windows XP: netstat –ao –p UDP-ao anahtarı açık bağlantı noktalarını kullanan programları belirlemek için işlem KIMLIĞINI gösterir.

Hangi programlar, çok noktaya yayın trafiği alma?


Program, TCPIP yığın ile gelen çok noktaya yayın trafiği almak için açıkça kaydettirmeniz gerekir. Program bu tür bir akış almak için kayıtlı değil, gelen çok noktaya yayın paketleri bırakılır. Ancak, çok noktaya yayın paketlerini (en yaygın), ağ bağdaştırıcısının miniport, IP katmanının veya UDP katmanı kesilmesine. Yöneticiler hangi çok noktaya yayın trafiği türlerini daha iyi, çok noktaya yayın trafiğini bilgisayar saldırmak için kullanılması durumunda değerlendirmek için ağ üzerinden yönlendirilebilir olup olmadığını denetlemeniz gerekir. Hangi çok noktaya yayın belirlemek için grupları bir program tarafından katılan:
  • Windows 2000'de: yöntem kullanılabilir
  • WINDOWS XP:
    1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, cmd yazın ve Tamam ' ı tıklatın.
    2. Netsh interface ip show joins yazın ve ENTER tuşuna basın.

Ipsec ile ınternet Bağlantısı Güvenlik duvarını kullanma

Windows XP için ınternet Bağlantısı Güvenlik Duvarı'nı (ICF), daha iyi trafiğe filtre uygulama güvenlik gereksinimlerini karşılayabilir. ICF, süzgeç ve Windows XP SP1'de gelen çok noktaya yayın ve yayın trafiği engelleyebilir. Ancak, ICF taşıma veya tünel modunda ıpsec AH veya ESP tarafından korunan trafiğin olmadığını belirlemiştir. Ipsec, ağ katmanı ıCF'YI aşağıda birimindedir. IKE, ıCF'YI katmanlı. Bu nedenle, ICF statik olarak IKE izin (UDP bağlantı noktası 500) gelen ve ıpsec decapsulated olduğunda, ancak ıpsec AH veya ESP protokollerinin TCP veya UDP trafiğine göremez alma işlem içinde. Ipsec trafiği engellerse, ICF bırakılan paket günlük ıpsec Atılan paketlerin içermez.

Ipsec işlevselliği, Gelişmiş süzgeç davranışını süzme ıCF'YI birlikte birleştirilebilir. Örneğin, ıCF'YI yalnızca herhangi bir IP adresini TCP bağlantı noktası 445'i açmak için yapılandırılmış ve bir ıpsec süzgeç daha bu bir iç alt kaynak adresini içeren paketler kısıtlamak için kullanılabilir. Başka bir örnek ıpsec için tüm trafiğin güvenlik anlaşması için yapılandırılmış, ancak ICF yapılandırması hangi gelen bağlantıları kabul edilmesi için izin verilen sınırlar yalnızca gelen IKE izin olabilir (UDP bağlantı noktası 500) ve (TCP bağlantı noktası 445) paylaşımı SMB dosya.

Referanslar

TCP/IP uygulaması hakkında daha fazla bilgi için Windows 2000 TCP/IP ayrıntılı uygulama teknik incelemeyi görüntülemek. Bunu yapmak için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/bb726981.aspx
IP güvenliği hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
253169--Ve edemiyor--trafik ıpsec tarafından güvenlik altına alınması
254728Ipsec etki alanı denetleyicileri arasında Kerberos trafiğini güvenli
308127Windows XP'de Internet Bağlantısı Güvenlik Duvarı bağlantı noktaları el ile nasıl açılır
810207Ipsec varsayılan muafiyetleri, Windows Server 2003'te kaldırılır

Özellikler

Makale numarası: 811832 - Last Review: 8 Şubat 2008 Cuma - Gözden geçirme: 7.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional Edition
Anahtar Kelimeler: 
kbmt kbfirewall kbprb kbinfo KB811832 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:811832

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com