Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

JAK: Używanie protokołu IPSec (Internet Protocol Security) do zabezpieczenia ruchu w sieci pomiędzy dwoma hostami Windows 2000

Ten artykuł został opublikowany wcześniej pod numerem PL301284
Streszczenie
W tym artykule opisano krok po kroku instrukcje, które umożliwiają zaawansowanym użytkownikom skonfigurowanie protokołu IPSec (Internet Protocol Security) w celu zabezpieczenia komunikacji pomiędzy dwoma hostami.

Terminologia IPSec

Przed przystąpieniem do wykonywania instrukcji zawartych w tym artykule należy zapoznać się z poniższym terminami:
  • Uwierzytelnianie: Proces mający na celu określenie, czy tożsamość komputera jest legalna. Protokół Windows 2000 IPSec obsługuje trzy rodzaje uwierzytelniania: Kerberos, certyfikaty oraz klucze wstępne. Uwierzytelnianie Kerberos działa jedynie wtedy, gdy oba komputery znajdują się w tej samej domenie Windows 2000. Jest to preferowana metoda uwierzytelniania. Jeżeli komputery znajdują się w różnych domenach lub co najmniej jeden z nich nie jest w domenie, należy użyć certyfikatów lub kluczy wstępnych. Certyfikaty działają jedynie wtedy, gdy każdy punkt końcowy zawiera certyfikat podpisany przez wystawcę, któremu ufa drugi punkt końcowy. Kluczy wstępnych dotyczy ten sam problem, który występuje przy hasłach: nie są one tajne przez długi okres czasu. Jeżeli punkty końcowe nie znajdują się w tej samej domenie, a użytkownicy nie są w stanie otrzymać certyfikatu, klucze wstępne są jedynym rozwiązaniem dla uwierzytelniania.
  • Szyfrowanie: Proces mający na celu przekształcenie danych w nieczytelną postać przed ich transmisją pomiędzy dwoma punktami końcowymi. Za pomocą dobrze przetestowanych algorytmów każdy punkt końcowy tworzy i wymienia klucze szyfrujące. Proces ten zapewnia, że klucze te są znane tylko przez punkty końcowe i jeżeli podczas wymiany zostaną przechwycone, strona przechwytująca nie otrzyma żadnych pożytecznych informacji.
  • Filtr: Opis adresów protokołu IP (Internet Protocol), które mogą wyzwolić ustanowienie skojarzenia zabezpieczenia IPSec.
  • Akcja filtru: Wymagania zabezpieczenia, które mogą zostać włączone, kiedy ruch jest zgodny z filtrami na liście filtrów.
  • Lista filtrów: Kolekcja filtrów.
  • Zasada zabezpieczeń protokołu IP: Kolekcja zasad, które opisują sposób, w jaki zabezpieczana jest komunikacja pomiędzy komputerami.
  • Reguła: Połączenie pomiędzy listą filtrów a akcją filtru. Jeżeli ruch jest zgodny z listą filtrów, zostanie wyzwolona odpowiadająca jej akcja filtru. Zasada protokołu IPSec może zawierać wiele reguł.
  • Skojarzenia zabezpieczeń: Kolekcja metod uwierzytelniania i szyfrowania, które są negocjowane przez punkty końcowe w celu ustanowienia bezpiecznej sesji.

Znajdowanie protokołu IPSec w programie Microsoft Management Console

Protokół IPSec jest konfigurowany za pomocą narzędzia Microsoft Management Console (MMC). System Windows 2000 tworzy konsolę MMC z przystawką IPSec podczas procesu instalacji. W celu zlokalizowania protokołu IPSec kliknij przyciskStart, wskaż polecenieProgramy, wskaż polecenieNarzędzia administracyjne i kliknij polecenieZasady zabezpieczeń lokalnych. W otwartym oknie MMC w lewym panelu kliknij pozycjęZasady zabezpieczeń IP w komputerze lokalnym. W prawym oknie MMC zostaną wyświetlone istniejące domyślne zasady.

Zmiana adresu IP, nazw komputerów oraz użytkowników

W tym przykładzie Alicja jest użytkownikiem, który używa komputera o nazwie „Alicjapc” i adresie IP równym 172.16.98.231. Jednocześnie Bogdan używa komputera o nazwie „Bogdanlap” i adresie IP równym 172.31.67.244. Łączą oni swoje komputery za pomocą programu Abczz.

Alicja i Bogdan muszą być pewni, że ich ruch jest zaszyfrowany podczas bezpośredniego łączenia się ze sobą za pomocą programu Abczz. Kiedy program Abczz nawiązuje połączenie, inicjator połączenia używa przypadkowego portu z górnego zakresu i łączy się (w tym przykładzie) poprzez port 6667/TCP lub 6668/TCP komputera docelowego (skrót TCP oznacza Transmission Control Protocol). Zazwyczaj porty te są używane przez program Internet Relay Chat (IRC). Ponieważ zarówno Bogdan jak i Alicja mogą nawiązywać połączenia, zasada musi istnieć po obu stronach.

Tworzenie listy filtrów

Elementy menu do tworzenia zasad protokołu IPSpec są dostępne po kliknięciu prawym przyciskiem myszy pozycjiZasady zabezpieczeń IP w komputerze lokalnymw oknie konsoli MMC. Pierwszy element menu nosi nazwę „Utwórz zasadę zabezpieczeń IP”. Chociaż może się wydawać, że to w tym miejscu należy rozpocząć tworzenie zasady, tak nie jest. Przed utworzeniem zasady i skojarzonych z nią reguł, należy zdefiniować listę filtrów oraz akcje filtrów, które są niezbędne dla każdej zasady IPSec. Zadanie to należy rozpocząć, klikając polecenieZarządzaj listami filtrów IP i akcjami filtrów.

Wyświetlone okno dialogowe zawiera dwie karty: jedna dla list filtrów, a druga dla akcji filtrów. Jako pierwsza zostanie otwarta kartaZarządzanie listami filtrów IP.Znajdują się tam już dwa wstępnie zdefiniowane filtry, których nie należy używać. Zamiast tego należy utworzyć listę filtrów odpowiadającą komputerowi, z którym ma być nawiązane połączenie.

Załóżmy, że tworzysz zasadę na komputerze należącym do Alicji:
  1. Kliknij przycisk Dodaj, aby utworzyć nową listę filtrów. Nadaj liście nazwę „Abczz do PC Bogdana”.
  2. Kliknij przyciskDodaj, aby utworzyć nowy filtr. Zostanie uruchomiony kreator.
  3. Kliknij opcjęMój adres IP jako adres źródłowy.
  4. Kliknij opcję Określony adres IP jako adres docelowy, a następnie wpisz adres IP (172.31.67.244) komputera należącego do Bogdana. Ewentualnie, jeżeli komputer należący do Bogdana jest zarejestrowany w systemie DNS (Domain Name System) lub w usłudze WINS (Windows Internet Name Service), jako adres docelowy wybierz opcję Określona nazwa DNS i wpisz nazwę DNS komputera Bogdana, czyli „Bogdanlap”.
  5. Program Abczz do komunikacji używa protokołu TCP, więc kliknij opcjęTCPjako typ protokołu.
  6. W oknie Port protokołu IP kliknij opcjęZ dowolnego portu. KliknijDo tego portu i wpisz:6667 oraz kliknij przyciskZakończ w celu zamknięcia kreatora.
  7. Powtórz poprzednie kroki, tylko tym razem jako numer portu wpisz:6668i kliknij przyciskZamknij.
Lista filtrów zawiera dwa filtry: jeden dla komunikacji od Alicji do Bogdana na porcie 6667 (który należy do Bogdana) oraz jeden na porcie 6668 (który należy do Bogdana). (Bogdan ma ustawione obydwa porty 6667 i 6668 na swoim komputerze: jeden port dla komunikacji wychodzącej, a drugi dla komunikacji przychodzącej). Filtry te są dublowane, co jest zawsze regułą podczas tworzenia filtrów IPSec. Dla każdego dublowanego filtru, lista może zawierać (bez wyświetlania) dokładnie przeciwny filtr, w którym adresy źródłowe i docelowe są zamienione. Bez zdublowanych filtrów komunikacja IPSec jest zazwyczaj niemożliwa.

Tworzenie akcji filtru

Został zdefiniowany taki rodzaj ruchu, który musi być zabezpieczony. Teraz należy określić mechanizmy zabezpieczenia. Kliknij kartęZarządzanie akcjami filtru. Na liście znajdują się trzy domyślne akcje. Zamiast używać akcjiWymagaj zabezpieczeń, należy utworzyć nową akcję, która jest bardziej restryktywna.

Aby utworzyć nową akcję:
  1. Kliknij przyciskDodaj, aby utworzyć nową akcję filtru. Zostanie uruchomiony kreator. Wpisz nazwę akcji "Szyfrowanie Abczz".
  2. W oknieOgólne opcje kliknij Negocjujprotokół zabezpieczeń, a następnie kliknij opcjęNie komunikuj się z komputerami nie obsługującymi protokołu IPSec.
  3. Kliknij opcjęWysoka w obszarze Zabezpieczenia ruchu IP, a następnie kliknij przyciskZakończ w celu zamknięcia kreatora.
  4. Kliknij dwukrotnie nową akcję filtru (nazwaną wcześniej "Szyfrowanie Abczz").
  5. Wyczyść pole wyboruAkceptuj komunikację nie zabezpieczoną, ale zawsze odpowiadaj używając protokołuIPSec. Krok ten sprawi, że komputery będą musiały negocjować IPSec przed wysłaniem pakietu Abczz.
  6. Zaznacz pole wyboruDoskonałe utajnienie przekazywania klucza sesji w celu upewnienia się, że klucz nie będzie używany ponownie, kliknij przyciskOK, a następnie kliknij przycisk Zamknij.

Tworzenie zasady IPSec

Zostały utworzone elementy zasady. Teraz można przystąpić do samej zasady. Kliknij prawym przyciskiem myszy w prawym oknie konsoli MMC, a następnie w menu podręcznym wybierz polecenieUtwórz zasadę zabezpieczeń IP. Po uruchomieniu kreatora:
  1. Nadaj nazwę zasadzie „IPSec Alicji”.
  2. Wyczyść pole wyboruWłącz regułę odpowiedzi domyślnej.
  3. Zaznacz pole wyboru Edytuj właściwości, jeżeli nie jest zaznaczone i zakończ kreatora. Zostanie wyświetlone okno dialogoweWłaściwościzasady.
Aby zasada IPSec działała poprawnie, musi ona zawierać przynajmniej jedną regułę, która łączy listę filtrów z akcją filtru.

Aby określić regułę w oknie dialogowymWłaściwości:
  1. Kliknij przyciskDodajw celu dodania nowej reguły. Po uruchomieniu kreatora kliknij opcjęTa reguła nie określa żadnego tunelu.
  2. WybierzSieć lokalna (LAN)jako typ sieci.
  3. Jako metodę uwierzytelniania wybierzDomyślny protokół Windows 2000 (Kerberos V5), jeżeli komputery Alicji i Bogdana znajdują się w tej samej domenie Windows 2000. Jeżeli nie, wybierzUżyj tego ciągu do ochrony wymiany klucza (klucz wstępny), a następnie wpisz ciąg znaków (tak długi jak tylko jesteś w stanie zapamiętać i bezbłędnie wpisać ponownie).
  4. Zaznacz utworzoną wcześniej listę filtrów. W tym przykładzie, pierwszą listą jest „Abczz do PC Bogdana”. Następnie wybierz wcześniej utworzoną akcję filtru. W tym przykładzie, akcja ta ma nazwę „Szyfrowanie Abczz”.
  5. Zakończ kreatora i kliknij przyciskZamknij.

Konfigurowanie innych punktów końcowych

Powtórz na komputerze Bogdana wszystkie powyższe procedury wykonane na komputerze Alicji. Należy oczywiście zmienić niektóre opcje, na przykład „Abczz do PC Bogdana” należy zmienić na „Abczz do PC Alicji”.

Przypisywanie zasad

Zostały zdefiniowane zasady po obu stronach. Teraz należy je przypisać:
  1. W oknie Ustawianie zabezpieczeń lokalnych MMCkliknij zasadę prawym przyciskiem myszy (w tym przykładzie Abczz).
  2. Kliknij poleceniePrzypisz.
W tym samym czasie może być przypisana tylko jedna zasada, ale jedna zasada może mieć dowolną ilość reguł. Na przykład, jeżeli Alicji potrzebna jest także bezpieczna komunikacja z Ewą za pomocą innego protokołu, należy utworzyć odpowiednią listę filtrów i akcji, a następnie dodać regułę do protokołu IPSec (należącego do Alicji), który łączy określoną listę filtrów z akcją filtru. KliknijUżyj innego klucza współużytkowanego dla tej reguły. Zasada Alicji ma w tej chwili dwie reguły: jedną dla komunikacji programu Abczz z Bogdanem, a drugą dla komunikacji z Ewą. Ponieważ Bogdan i Ewa nie mają potrzeby bezpiecznie się ze sobą komunikować, nie trzeba nic dodawać do zasady Bogdana, a zasada Ewy zawiera jedną regułę dla komunikacji z Alicją.

Rozwiązywanie problemów

Używanie IPSecMon do testowania zasady

Windows 2000 zawiera narzędzie (IPSecMon.exe), za pomocą którego można przetestować, czy skojarzenia zabezpieczeń IPSec zostały pomyślnie uruchomione. Aby uruchomić IPSecMon:
  1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
  2. Wpisz:ipsecmoni kliknij klawisz ENTER.
  3. Kliknij przyciskOpcje.
  4. Zmień okres odświeżania na1.
Należy uruchomić komunikację z jednego punktu końcowego do drugiego. Może wystąpić opóźnienie, ponieważ wymiana informacji szyfrującej pomiędzy punktami końcowymi oraz wykonanie skojarzenia zabezpieczeń może zająć kilka sekund. Zachowanie takie można obserwować w oknie programu IPSecMon. Budowanie przez punkty końcowe wzajemnych skojarzeń zabezpieczeń można obserwować w oknie programu IPSecMon, w którym jest ono wyświetlane.

Jeżeli jest oczekiwane zbudowanie skojarzenia zabezpieczeń, ale nic takiego się nie dzieje, należy wrócić do list filtrów i przejrzeć je dla każdego punktu końcowego. Należy upewnić się, czy używane protokoły zostały poprawnie zdefiniowane, ponieważ łatwo jest zamienić adres źródłowy z docelowym lub odwrócić porty. Można także utworzyć nowe listy filtrów, w których zostanie określony cały ruch. Ponadto, można dodać nową regułę do zasady używającej tej listy filtrów, a następnie wyłączyć istniejącą regułę. Kroki te należy wykonać w obu punktach końcowych. Oprócz tego można użyć poleceniapingdo przetestowania połączenia: poleceniepingwyświetli komunikat „Negocjowanie zabezpieczeń IP” podczas fazy kojarzenia zabezpieczeń, a potem wyświetli zwykły wynik po skojarzeniu zabezpieczeń.

Translacja NAT i protokół IPSec są ze sobą niezgodne

Jeżeli pomiędzy dwoma punktami końcowymi istnieje jakakolwiek translacja adresów sieciowych (NAT), protokół IPSec nie będzie działał. Protokół IPSec osadza adresy punktów końcowych jako część ładunku. Protokół IPSec używa ponadto adresów źródłowych podczas obliczania sumy kontrolnej pakietu przed jego wysłaniem. Translacja NAT może zmienić adres źródłowy wychodzącego pakietu, a punkt docelowy używa adresu w nagłówku podczas obliczania własnej sumy kontrolnej. Obliczona suma kontrolna źródła przesłana w pakiecie nie będzie zgodna z obliczoną w punkcie docelowym i punkt docelowy może utracić pakiety. Nie można używać protokołu IPSec z żadnym typem urządzenia translacji NAT.



Materiały referencyjne
Wytyczne oraz szczegółowe informacje techniczne na temat protokołu IPSec w systemie Windows 2000 znajdują się w witrynie sieci Web firmy Microsoft pod adresem:

Właściwości

Identyfikator artykułu: 301284 — ostatni przegląd: 09/19/2003 17:12:00 — zmiana: 2.1

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • kbhowto kbhowtomaster KB301284
Opinia