يمكن استخدام IPsec الافتراضية استثناءات لتجاوز حماية IPsec في "بعض المواقف"

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية811832
تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الموجز
لم يتم تصميم ميزة "أمان بروتوكول إنترنت" (IPsec) في Windows 2000 و Windows XP و Windows Server 2003 كجدار حماية كاملة الميزات المستندة إلى المضيف. وقد تم تصميمها لتوفير الأساسية السماح والمنع التصفية باستخدام معلومات عنوان البروتوكول والمنفذ في حزم الشبكة. تم تصميم IPsec أيضًا بمثابة أداة إدارية لتحسين أمان الاتصالات بطريقة واضحة البرامج. لهذا السبب، يوفر تصفية معدل نقل البيانات اللازمة للتفاوض على الأمان IPsec النقل وضع أو وضع نفق IPSec, بشكل أساسي بيئات إنترانت حيث تم الثقة الجهاز المتوفرة من خدمة Kerberos أو مسارات معينة عبر إنترنت حيث يمكن استخدام الشهادات الرقمية البنية التحتية للمفتاح العام (PKI).

يتم توثيق استثناءات الافتراضي إلى عوامل تصفية نهج IPSec في تعليمات Microsoft Windows 2000 و Windows XP عبر إنترنت. عوامل التصفية هذه تجعل من الممكن مفتاح إنترنت التبادلي (IKE) و Kerberos إلى الدالة. عوامل التصفية أيضاً تجعل من الممكن الشبكة "نوعية الخدمة" (QoS) أن الإشارة (RSVP) عندما يتم تأمين حركة مرور البيانات بواسطة IPsec لا قد ذلك IPsec تأمين مثل حركة مرور الإرسال المتعدد والبث وذلك لحركة المرور. لمزيد من المعلومات حول عوامل التصفية هذه انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
253169 يتم تأمين حركة المرور التي يمكن--لا يمكن--بواسطة IPSec
معلومات أخرى
كما تزداد يتم استخدامها IPsec المضيف - جدار الحماية الأساسية تصفية الحزم ، بشكل خاص في وحدات السيناريو التي كشف إنترنت قد يتم يتم فهم تؤثر هذه استثناءات الافتراضية بشكل كامل. لهذا السبب، بعض المسؤولين IPsec قد إنشاء نهج IPsec التي يعتقدون أن آمنة, ولكن لا يتم بالفعل آمنة ضد الهجمات الواردة التي تستخدم استثناءات الافتراضي.

توصي Microsoft بشدة لمسؤولي الشبكة اتخاذ الخطوات في هذه المقالة لإزالة استثناءات الافتراضي بـ IPSec. ينصح بهذا خاصةً إذا تم استخدام IPsec في وحدات سيناريو حيث يجب أن وظيفة مثل جدار الحماية منع المهاجمين من الوصول إلى الكمبيوتر عبر الشبكة. إزالة استثناءات الافتراضي لـ Kerberos لمنع المهاجمين من defeating حماية الذي يهدف إلى أن الموفرة من قبل IPSec تكوينات معينة نهج IPsec. بعد إزالة استثناءات قد يلزم تغيير العمل بشكل صحيح نُهج الأمان الموجودة.

يمكن للمسؤولين البدء في التخطيط هذه التغييرات لكافة جديد و الموجودة عمليات IPsec النشر باستخدام
NoDefaultExempt=1
مفتاح التسجيل على كافة أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000 و يستند إلى نظام التشغيل Windows XP. يتم وصف غرض مفتاح التسجيل هذا لاحقًا في هذه المقالة.

تعريف استثناءات IPsec الافتراضية

يلخص الجدول التالي عوامل التصفية المكافئ التي يتم تطبيق إذا تم تمكين كافة استثناءات الافتراضي إلى تصفية IPSec كما أن يتم بشكل افتراضي أو إذا تم تعيين
NoDefaultExempt
إلى تعريفات عوامل تصفية .These 0 تصف استثناءات الافتراضية التي يتم تطبيقها في برنامج تشغيل IPSec للسماح بحركة مرور بغض النظر عن عوامل تصفية نهج IPSec الأخرى. عدم إظهار أدوات مصممة لإظهار تفاصيل حول عامل تصفية نهج IPSec هذه استثناءات في نتائجها.

عوامل تصفية مكافئ لـ
NoDefaultExempt=0
:
عنوان المصدرالوجهة العناوينبروتوكولمنفذ المصدرمنفذ الوجهةإجراء التصفية
عنوان IP الخاص بيأي عنوان IPudpأي88السماح
أي عنوان IPعنوان IP الخاص بيudp88أي السماح
أي عنوان IPعنوان IP الخاص بيudpأي 88السماح
عنوان IP الخاص بيأي عنوان IPudp88أي السماح
عنوان IP الخاص بيأي عنوان IPtcpأي 88السماح
أي عنوان IPعنوان IP الخاص بيtcp88أي السماح
أي عنوان IPعنوان IP الخاص بيtcpأي 88السماح
عنوان IP الخاص بيأي عنوان IPtcp88أي السماح
عنوان IP الخاص بيأي عنوان IPudp500500 (1)السماح
أي عنوان IPعنوان IP الخاص بيudp500500السماح
عنوان IP الخاص بيأيRSVP 46 ()السماح
أي عنوان IPعنوان IP الخاص بيRSVP 46 ()السماح
أي عنوان IP<multicast>(2)السماح
عنوان IP الخاص بي<multicast>السماح
أي عنوان IP<broadcast>(3) السماح
عنوان IP الخاص بي<broadcast>السماح
<البروتوكول IPv6 كافة حركة المرور > (5)<كافة البروتوكول IPv6 حركة مرور > (4)السماح
عند تحديد عنوان IP قناع الشبكة الفرعية هو 255.255.255.255. عندما يكون عنوان IP أي ، قناع الشبكة الفرعية هو 0.0.0.0.
  1. إعفاء هذه الميزة لكي وضع النقل IPSec يتم التفاوض حول من خلال وضع نفق IPSec SA حركة مرور ISAKMP يتم لا وعن إذا يحتاج بالمرور عبر نفق IPSec أولاً.
  2. يتم تعريف حركة مرور الإرسال المتعدد كفئة نطاق D مع نطاق عنوان وجهة من 224.0.0.0 مع 240.0.0.0 قناع الشبكة الفرعية. يتضمن هذا نطاق من عناوين IP من 224.0.0.0 إلى 239.255.255.255.
  3. يتم تعريف حركة مرور البث كعنوان وجهة من 255.255.255.255 عنوان البث محدودة أو أنه يحتوي على معرف المضيف تعيين جزء من عنوان IP إلى كافة 1s عنوان بث الشبكة الفرعية.
  4. لا يعتمد IPSec تصفية حزم IP الإصدار 6 (IPv6) ، باستثناء عندما تغليف حزم IPv6 برأس IPv4 كـ IP البروتوكول 41. للحصول على مزيد من المعلومات حول دعم IPv6 في Windows، قم بزيارة موقع Microsoft التالي على الويب:

دعم نظام التشغيل عن NoDefaultExempt

يصف الجدول التالي سلوك الاستثناء الافتراضي في الإصدارات المختلفة لـ Windows 2000 و Windows XP:
البيع بالتجزئة تحرير الإصدارحزمة الخدمةالمزود بحزمة الخدمة SP2المزود بحزمة الخدمة SP3المزود بحزمة الخدمة SP4
نظام التشغيل Windows 2000يحتوي استثناءات الافتراضي. لم يتم اعتماد المفتاح
NoDefaultExempt
.
وجود استثناءات الافتراضي, يتم اعتماد المفتاح
NoDefaultExempt
قيم 0 أو 1.
يحتوي استثناءات الافتراضي. يتم اعتماد المفتاح
NoDefaultExempt
، قيم 0 أو 1.
يحتوي استثناءات الافتراضي. يتم اعتماد المفتاح
NoDefaultExempt
، قيم 0 أو 1.
تغيير افتراضي
NoDefaultExempt=1
التي إزالة استثناءات Kerb و RSVP.
Windows XPوجود استثناءات الافتراضي, يتم اعتماد
NoDefaultExempt
قيم 0 أو 1.
وجود استثناءات الافتراضي, يتم اعتماد
NoDefaultExempt
قيم 0 أو 1.
تغيير افتراضي
NoDefaultExempt=1
، الذي يقوم بإزالة استثناءات Kerb و RSVP.


ملاحظة لا يعتمد IPSec في Windows 2000 وWindows XP تصفية البث أو حركة مرور الإرسال المتعدد.

إزالة استثناءات الافتراضي

يتحكم مفتاح التسجيل التالي نوع استثناءات الافتراضي لـ IPSec:
NoDefaultExempt

نوع البيانات: REG_DWORD
النطاق: يختلف:
Windows 2000: 0-1 معتمد فقط
Windows XP: 0-1 معتمد فقط
Windows Server 2003: 0-3 معتمد فقط
سلوك (Windows 2000 و Windows XP) الافتراضية: 0
سلوك (Windows Server 2003) الافتراضية: 3
موجودة بشكل افتراضي: بلا
وصف القيم الممكنة:
  • تعيّن قيمة 0 التي الإرسال المتعدد و البث RSVP Kerberos و IKE يتم المستثناة من تصفية IPSec حركة المرور (ISAKMP). هذا هو الافتراضي تصفية سلوك Windows 2000 و Windows XP. استخدم هذا الإعداد فقط إذا كان لديك إلى للتوافق مع نهج IPsec الموجود أو سلوك Windows 2000 و Windows XP.
  • تعيّن قيمة 1 حركة مرور Kerberos RSVP ليست المستثناة من تصفية IPSec ولكن يتم استثناء حركة مرور IKE و البث أو الإرسال المتعدد. هذه هي القيمة الموصى بها لكل من Windows 2000 و Windows XP.
  • تعيّن قيمة 2 حركة مرور الإرسال المتعدد والبث ليست المستثناة من تصفية IPSec ولكن يتم استثناء حركة مرور IKE و Kerberos أو RSVP. معتمد فقط في Windows Server 2003.
  • قيمة 3 تحدد المستثناة من تصفية IPSec حركة مرور IKE فقط. معتمد فقط في Windows Server 2003. يحتوي Windows Server 2003 على هذا السلوك الافتراضي على الرغم من عدم وجود مفتاح التسجيل بشكل افتراضي.
هام هذا المقطع أو أسلوب أو المهمة على خطوات إخبارك عن كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. لذلك، تأكد من اتبع الخطوات التالية بعناية. للحصول على الحماية المضافة عمل نسخة احتياطية من السجل قبل تعديله. ثم يمكنك استعادة السجل في حالة حدوث مشكلة. للحصول على مزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
322756كيفية عمل نسخة احتياطية و استعادة التسجيل في Windows


تكوين مفتاح التسجيل هذا:
  1. انقر فوق ابدأ ثم انقر فوق تشغيل واكتب regedit ثم انقر فوق موافق.
  2. انقر فوق مفتاح التسجيل التالي:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    ملاحظة في Windows Server 2008 وفي Windows Vista مفتاح التسجيل:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. انقر بزر الماوس الأيمن فوق IPSEC ، أشر إلى جديد ثم انقر فوق قيمة DWORD.
  4. اسم هذا الإدخال الجديد NoDefaultExempt.
  5. تغيير قيمة مفتاح
    NoDefaultExempt
    من 0 إلى 1. إذا أردت ذلك, يمكنك استخدام قيمة غير 1 إذا كانت القيمة آخر ملاءمةً البيئة الخاصة بك.
  6. قم بإنهاء "محرر التسجيل".
  7. في Windows XP، انقر فوق ابدأ ثم انقر فوق لوحة التحكم ثم ثم انقر نقراً مزدوجاً فوق أدوات إدارية. في Windows 2000 انقر فوق ابدأ ، انقر فوق إعدادات ثم انقر فوق لوحة التحكم ثم ثم انقر نقراً مزدوجاً فوق أدوات إدارية.
  8. انقر نقراً مزدوجاً فوق خدمات.
  9. إيقاف ثم قم بإعادة تشغيل خدمات IPSec. Windows XP يتطلب إعادة تشغيل جهاز الكمبيوتر بعد القيام بذلك.

تؤثر الإعفاءات الافتراضي

يعرض المثال التالي نهج نظام التشغيل Windows 2000 أو Windows XP IPSec الذي تم تكوينه كعامل تصفية كتلة ذات الاتجاه واحد. يتم تطبيق عامل تصفية كتلة وفق هذه القواعد التأثيرات تجميد كافة حركات المرور الواردة. يتم توفير هذه القاعدة عامل تصفية فقط إلى عرض تأثير استثناءات IPSec مقابل هذه القاعدة:
Source Address:		AnySource Mask:		0.0.0.0Destination Address:	My IP Address (10.10.1.2)Destination Mask:	(255.255.255.255)Protocol:		AnySource Port:		AnyDestination Port:	AnyMirrored:		No
هدف الخاص المسؤول في هذا المثال يتم حظر كافة مرور أحادي الإرسال الواردة التي تم الانتقال إلى 10.10.1.2 عنوان IP. تصف المقاطع التالية تؤثر استثناءات الافتراضية كما ينطبق عامل التصفية هذا.

تؤثر استثناء IKE

استثناء IKE تقتصر على منفذ المصدر والوجهة UDP 500. يتلقى IKE دوماً هذا النوع من الحزمة من أي عنوان المصدر لوجود الافتراضي استثناء IKE. قد يكون مهاجم لاستخدام IKE على منافذ لمهاجمة IKE نفسه أو ربما تسبب مشاكل. ومع ذلك، لا يمكن استخدام منافذ IKE للهجوم منافذ UDP أو TCP مفتوحة أخرى. ينجز IKE على IPsec البحث النهج لتحديد ما إذا كان يجب الرد على حزمة واردة. بسبب استخدام IKE التفاوض مع إعدادات الأمان بين مضيفي IPSec و IPSec يتم استخدام عوامل التصفية فقط من أجل السماح ثم كتلة التحكم حركة مرور IKE التي تم عليها العثور على نهج أمان مطابق سيرد للطلبات الواردة.

استخدم IKE الأساليب المختلفة مما قد يؤدي إلى رفض الخدمة (DoS) avoidance. حزمة الخدمة Service Pack 3 الخاصة بـ Windows 2000 و Windows XP توفير DoS المحسنة avoidance IKE flooding الهجمات. لا يمكن تعطيل IKE بشكل مستقل عن "خدمة IPsec" و "برنامج تشغيل IPSec. يمكن تعطيل IKE بواسطة إيقاف تشغيل IPsec في خدمة أيضاً إلى تعطيل تصفية IPsec.

إذا مهاجمة من الإنترنت IKE و غير مطلوبة ولكن تصفية IPsec مطلوب عدد من الخيارات غير متوفرة:
  • يمكن استخدام عامل تصفية حظر حركة مرور UDP 500 على جدار الحماية أو العبّارة الافتراضية.
  • تكوين عامل تصفية TCP/IP المتقدم على واجهة إنترنت. استخدام "تخويل فقط" ثم قم بإضافة منافذ UDP المطلوبة غير UDP 500. للحصول على مزيد من المعلومات حول استخدام هذا الخيار انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    309798كيفية تكوين TCP/IP التصفية في Windows 2000
    استخدام الأمر netstat –a لرؤية فتح منافذ UDP.
  • على Windows XP يمكن تمكين جدار حماية اتصال إنترنت (ICF) على واجهة إنترنت لحظر كل حركة المرور الواردة. يمكن تكوين فتحات معينة منافذ UDP غير UDP 500.للحصول على مزيد من المعلومات حول ICF انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    283673كيفية تشغيل أو إيقاف تشغيل جدار الحماية في Windows XP

تؤثر استثناء Kerberos الافتراضي

إعفاء هذه الميزة مع هذا المثال بمنع كافة حركة المرور الواردة ذات الاتجاه الواحد كافة الواردة والصادرة أحادي حركة مرور Kerberos يمكن وعن تطابق عامل التصفية هذا. لهذا السبب، يمكن للمهاجم إنشاء أحادية الإرسال UDP أو TCP حزمة يستخدم المنفذ المصدر 88 إلى الوصول إلى أي منفذ مفتوحة في 10.10.1.2. هذا تمكين فحص منفذ UDP و TCP حتى مع عامل التصفية كتلة. يجب على المسؤول بتعيين مفتاح التسجيل
NoDefaultExempt
لمنع هجمات. في حالة استخدام جهاز توجيه أو جدار حماية التصفية قد أو قد لا تسمح مثل حركة مرور من مهاجم استناداً إلى وكيفية معالجة حركة المرور التي تستخدمها منافذ Kerberos.

ملاحظة لا العديد من الأدوات تفحص المنفذ بالكشف عن هذا السلوك لأن لا تسمح هذه الأدوات تعيين منفذ المصدر إلى 88 عند حدوث الاختيار المنافذ المفتوحة. لاحظ أيضاً العديد من الأدوات تفحص المنفذ تتوقع رسالة ICMP استجابة اختبار يتم إرسالها إلى منفذ TCP أو UDP غير مفتوح. إذا تم حظر IPsec حركة مرور ICMP, قد كذباً تقرير أداة المسح المنفذ مفتوح. استخدام تتبع شبكة باستخدام أداة "مراقبة الشبكة" للتأكد من أن حركة المرور التي يتم إرسالها واستلامها على شبكة الاتصال.

عند Kerberos إزالة الاستثناء و أيضًا في حالة استخدام IPSec لتأمين معدل نقل بيانات باستخدام مصادقة Kerberos في IKE, يجب أن يتبع اعتبارات التصميم نهج IPsec التالية:
  • كمبيوتر الذي يستخدم مصادقة Kerberos IKE مع
    NoDefaultExempt=1
    لا يمكن الاتصال مع كمبيوتر نظير يتم استخدام مصادقة Kerberos IKE إذا أيضاً ليس قيمة مفتاح التسجيل نفس. استخدام مصادقة الشهادة IKE بدلاً من Kerberos هذا حيث مطلوب.
  • يجب تحديد استثناءات صريحة لحركة مرور Kerberos و 389 UDP من كافة عناوين IP DC ذات الصلة في نهج IPsec. لأن اعتبارًا من مارس 2003، لا تدعم Microsoft IPSec تأمين حركة المرور من عضو مجال إلى وحدات تحكم المجال الخاص به, إضافة عوامل تصفية نهج IPsec للسماح بحركة مرور كافة عناوين IP وحدة تحكم المجال بشكل واضح. قد يتطلب هذا العديد تسمح عوامل التصفية إذا كان هناك يجب تعيين العديد من عناوين IP DCs. DC بشكل دائم إلى DCs (عناوين IP ثابتة). يجب الاحتفاظ قائمة عوامل تصفية من أجل كافة DC في مجال عن طريق مسؤول أن يكون لديك قائمة عناوين IP الحالي. هذا يمكن بسهولة تحديث بواسطة المسؤول إذا كان عامل التصفية يحدد اسم DNS للمجال كعنوان مصدر أو وجهة أثناء إنشاء عامل تصفية جديد. تعمل هذه المقالة على حل اسم المجال مقابل DNS على كافة عناوين IP الحالي في المجال ثم إنشاء عوامل تصفية IP كل الفردية. تحقق من قائمة عناوين IP قبل استخدام قائمة عوامل التصفية في الإنتاج. سوف تتطلب إضافة DC جديدة في إضافة عامل تصفية جديد في قائمة عوامل التصفية هذه. توصي Microsoft باستخدام قائمة عوامل تصفية واحدة لـ DC كافة في مجال معين ثم يتم المشتركة عبر قواعد نهج IPsec. تأكد من أن اسم قائمة عامل التصفية يشير إلى وقت التحديث الأخير من قائمة عناوين IP لسهولة الرجوع إليها.
لمزيد من المعلومات حول الاتصال بين وحدات التحكم بالمجال انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
254949دعم IPSec حركة المرور وحدة تحكم المجال العميل وحركة وحدة تحكم المجال وحدة تحكم المجال

تؤثر استثناء RSVP

قد يمكنك تؤدي إلى رفض الخدمة بواسطة flooding أو إرسال الحزم RSVP المُنتحَلة أو ضار إلى 10.10.1.2 مهاجم على جهاز كمبيوتر يستخدم RSVP. هذا هو عنوان IP المستخدمة في المثال السابق ثم تجاوز هذا الهجوم تصفية IPsec أحادية الاتجاه كتلة الواردة في المثال.

بروتوكول RSVP بروتوكول IP 46. وهو بروتوكول إرسال الإشارات المستخدمة في حجز عرض النطاق الترددي في أجهزة التوجيه لحركة المرور البرنامج.

RSVP في نظام التشغيل Windows 2000

يستخدم Windows 2000 بروتوكول RSVP الظروف التالية:
  • يتم تثبيت خدمة التحكم بإذن الدخول QoS. هذا مكون شبكة اختياري في أجهزة الكمبيوتر التي تعمل على Windows 2000 Server. إذا تم تثبيت ، يتلقى ويرسل حركة مرور RSVP.
  • يتم تشغيل خدمة RSVP "جودة الخدمة" (QoS). افتراضياً، هذه الخدمة مثبت ومكون كخدمة autostart. عندما يتم تشغيلها الخدمة بتحميل برنامج Rsvp.exe يستخدم RSVP على بروتوكول ثم unloads أنه إذا كانت هناك حركة مرور لا يتطلب RSVP الإشارة. تحميل البرنامج Rsvp.exe بشكل حيوي عند الحاجة خدمات QoS.
  • فتح برنامج مأخذ توصيل مع خيار مأخذ توصيل GQoS. تشغيل البرنامج Rsvp.exe بشكل مستمر لإدارة إشارات لحركة المرور مأخذ التوصيل.
  • يستخدم الأمر pathping –r بروتوكول RSVP لتحديد ما إذا كانت أجهزة التوجيه الخاصة تمكين RSVP.
للحصول على مزيد من المعلومات حول كيفية تعطيل بروتوكول RSVP إشارات انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
247103كيفية تعطيل إشارات RSVP
عند استخدام خدمة QoS RSVP لا يرسل ازدحام إشارة RSVP على الواجهة المعيّنة بالبايتات.

RSVP في نظام التشغيل Windows XP

تم إهمال بروتوكول RSVP في Windows XP. على الرغم من أن يتم تثبيت خدمة RSVP "جودة الخدمة" (QoS) بشكل افتراضي, فإنه يتم تكوين تشغيل يدوي. الخدمة لا إرسال أو معالجة رسائل بروتوكول RSVP المتلقاة. لا يزال يسجل RSVP على البروتوكول بروتوكول حتى تلقي المكدس TCPIP IP الحزم نوع 46. ولكن ثم يتم تجاهل هذه الحزم الواردة. إذا لم يتم بدء تشغيل خدمة QoS RSVP رصة بروتوكول TCP/IP سيتم إسقاط الحزمة RSVP الواردة ، ثم قم بإرسال حزمة "وجهة غير قابلة للوصول" ICMP في الاستجابة.

يستخدم Windows XP فقط بروتوكول RSVP عند الأمر pathping –r يستخدم بروتوكول RSVP لتحديد ما إذا كانت أجهزة التوجيه الخاصة تمكين RSVP.

حماية مقابل RSVP هجمات

يجب تعيين المسؤول لتمكين IPsec للحماية ضد هجمات محتملة من خلال استخدام بروتوكول RSVP
NoDefaultExempt=1
مفتاح التسجيل إلى تعطيل الاستثناء RSVP في IPsec. بدلاً من ذلك، يمكنك تعطيل خدمة QoS RSVP أو تعطيل RSVP أنه بروتوكول.للحصول على مزيد من المعلومات حول كيفية القيام بذلك انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
247103كيفية تعطيل إشارات RSVP
في حالة طلب عملية بروتوكول RSVP يمكن تعريف عوامل التصفية سماح صريح في نهج IPsec للسماح بروتوكول IP 46 إلى عناوين المصدر والوجهة المناسبة. ولأن RSVP للاتصال مع أجهزة التوجيه ، ولا تنصح Microsoft باستخدام IPSec للتفاوض على الأمان RSVP. ملاحظة يمكن أيضاً استخدام RSVP عنوان الإرسال متعدد لا يمكن تصفية بواسطة IPSec.

تؤثر البث أو الإرسال المتعدد استثناء

الحزم ذات عناوين الإرسال المتعدد والبث الوجهة لا تطابق عامل التصفية الوارد المثال بسبب عوامل التصفية الواردة على عنوان وجهة عنوان IP أحادي الإرسال معينة (10.10.1.2). Windows 2000 و Windows XP IPsec تصفية لا تتيح إمكانية تصفية حركة مرور الإرسال المتعدد أو البث.

أحد المهاجمين بإنشاء حزم الإرسال المتعدد أو البث و الشبكة تسمح هذه الحزم المتلقاة بواسطة الكمبيوتر يمكن للمهاجم تجاوز عامل تصفية IPsec التي تم استخدامها في المثال السابق. عادةً المهاجم أن يكون على الشبكة الفرعية المحلية لإجراء هجوم باستخدام حركة المرور هذه لأنه غير تكوين جهاز توجيه العبّارة الافتراضية من إعادة توجيه حركة غير المرغوب فيها الإرسال المتعدد أو البث المرور الواردة. في بعض تصميمات نهج IPsec التي تستخدم خيار التصفية إلى “ السماح بالاتصال غير الآمن مع الأجهزة التي لديها معرفة بـ IPSec غير ” ، مهاجم قد تتمكن من استخدام الإرسال المتعدد أو الواردة حركة مرور البث أجهزة الكمبيوتر وجهة لإرسال استجابة الإرسال المفرد. هذا ثم تقوم بتشغيل تفاوض IKE صادرة التي سيتم إنشاء حزمة SA بسيط وفتح مسار المهاجم الاتصال. قد يستطيع مهاجم إنشاء حزمة TCP غير صحيحة باستخدام عنوان وجهة الإرسال المتعدد أو البث لمحاولة لتجاوز عوامل تصفية IPsec. إذا كان البرنامج أو بروتوكول يعمل بنظام التشغيل الذي يطلب لتلقي الحزم الإرسال المتعدد أو البث قد يكون المهاجم قادراً على الاتصال مع ذلك البرنامج إذا كان المهاجم البرنامج كلا استخدم فقط البث المتعدد وحركة مرور.

توصي Microsoft أن المسؤول IPsec مناقشة تكوين جدار الحماية وجهاز التوجيه مع مسؤول شبكة الاتصال لمعرفة دراسة جدوى من مثل الهجوم المستند إلى IPsec الحالية من النهج.

يتطلب الاتصال المستندة إلى TCP/IP تعارف ثلاثة الطريقة التي يستخدم حركة مرور IP أحادي الإرسال لذلك لا يمكن استخدام أنواع حركة مرور الإرسال المتعدد أو البث. في Windows 2000 وWindows XP البرامج والخدمات التي تستخدم UDP مآخذ توصيل raw بشكل افتراضي تلقي حركة مرور البث إذا تم إرسال إلى المنافذ فتح البرامج. بشكل افتراضي، يجب أن لا تكون توجيه حالات 2644 RFC توجيه حركة مرور البث قبل أجهزة التوجيه. هناك نوعين الأخرى من حركة مرور البث قد يتم استخدام من الارتباط المحلي:
  • محدود بث العناوين – هذا إذا IP الوجهة هو عنوان 255.255.255.255.
  • بث Directed بادئة الشبكة - هذا إذا كان عنوان IP الوجهة x.y.255.255 أو x.y.z.255 مع أقنعة الشبكة الفرعية المناسبة.
تعريف البرامج عادةً طراز الاتصال الخاصة بهم باستخدام حركة المرور هذه. عادةً ما يتم استخدام حركة مرور الإرسال المتعدد والبث الإعلان عن خدمة واكتشاف أولاً. ثم ستستخدم الكمبيوتر المصدر والكمبيوتر الوجهة حركة مرور IP أحادي الإرسال بين عناوين IP لمتابعة الاتصال.

لمعرفة البرامج UDP التي ستقوم بتلقي حركة مرور البث بشكل افتراضي استخدام الأمر netstat:
  • نظام التشغيل Windows 2000: netstat - a -p UDP هناك يوجد أسلوب عرض البرامج فتح هذه المنافذ.
  • Windows XP: –p –ao netstat UDP-ao يعرض رمز التبديل معرف العملية للمساعدة في التعرف على البرامج التي تستخدم المنافذ المفتوحة.

ما البرامج إمكانية تلقي حركة مرور الإرسال المتعدد ؟


يجب تسجيل البرامج بشكل صريح مع مكدس TCPIP لتلقي حركة المرور الواردة الإرسال المتعدد. إذا لم يتم تسجيل البرنامج لتلقي هذا النوع من حركة مرور يتم إسقاط الحزم الواردة الإرسال المتعدد. ومع ذلك، الإرسال المتعدد يمكن أن يكون إسقاط الحزم في محول شبكة الاتصال (الأكثر شيوعاً) ، للمنفذ المصغر طبقة IP أو طبقة UDP. يجب أن تحقق المسؤولين على تحديد ما هي أنواع حركة مرور الإرسال المتعدد للتوجيه عبر شبكة الاتصال بشكل أفضل لتقييم إذا كان يمكن استخدام حركة مرور الإرسال المتعدد لمهاجمة جهاز كمبيوتر. تحديد الإرسال المتعدد التي تم ضمها المجموعات بواسطة برنامج:
  • نظام التشغيل Windows 2000: يوجد أسلوب المتوفرة
  • Windows XP:
    1. انقر فوق ابدأ ثم انقر فوق تشغيل واكتب cmd ثم انقر فوق موافق.
    2. اكتب netsh interface ip إظهار الصلات ثم ثم اضغط ENTER.

باستخدام IPsec مع جدار حماية اتصال الإنترنت

Windows XP، قد جدار حماية اتصال إنترنت (ICF) تطابق متطلبات الأمان لتصفية حركة مرور بشكل أفضل. ICF يصفي وحظر يمكن مرور الإرسال المتعدد والبث الواردة في Windows XP SP1. ومع ذلك، ICF غير علم حركة مرور محمية بواسطة IPSec AH أو ESP في وضع النقل "أو" نفق. يكون IPsec في طبقة شبكة اتصال أسفل ICF. يتم طبقات IKE أعلاه ICF. وبسبب هذا، ICF يجب بشكل ثابت تسمح IKE (منفذ UDP 500) الواردة و لن تشاهد بروتوكولات IPsec AH أو ESP ولكن حركة مرور TCP أو UDP بعد قام IPsec decapsulated في معالجة التلقي. إذا كان IPSec بمنع حركة المرور, سجل الحزمة ICF إسقاط لن يحتوي على الحزم التي تم إهمالها IPsec.

يمكن دمج وظيفة IPsec مع ICF تصفية السلوك التصفية المتقدمة. على سبيل المثال، يمكن تكوين ICF لفتح منفذ TCP 445 من أي عنوان IP ثم قد يتم استخدام عامل تصفية IPsec تقييد هذا يحتوي على الشبكة داخلية كعنوان مصدر للحزم فقط. مثال آخر قد يكون تم تكوين IPSec للتفاوض على الأمان من أجل كل حركة مرور ولكن يقيّد تكوين ICF ما هي الاتصالات الواردة المسموح بها ليتم قبوله السماح IKE الواردة فقط (منفذ UDP 500) (منفذ TCP 445) ومشاركة الملفات SMB.
مراجع
للحصول على مزيد من المعلومات حول تطبيق TCP/IP عرض الورق الأبيض Windows 2000 TCP/IP Detailed التطبيق. للقيام بذلك، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول أمان IP "، انقر فوق أرقام المقالات التالية لعرضها في" قاعدة المعارف لـ Microsoft:
253169يتم تأمين حركة المرور التي يمكن--لا يمكن--بواسطة IPSec
254728لا يؤمن IPSec حركة مرور Kerberos بين وحدات التحكم بالمجال
308127كيفية فتح المنافذ يدويًا في "جدار حماية الاتصال بإنترنت" في Windows XP
810207تتم إزالة استثناءات الافتراضي IPSec في Windows Server 2003

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 811832 - آخر مراجعة: 12/08/2015 01:49:37 - المراجعة: 7.2

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows XP Professional

  • kbnosurvey kbarchive kbmt kbfirewall kbprb kbinfo KB811832 KbMtar
تعليقات