Udostępnij przez

Konfiguracja protokołu IPsec

Platforma filtrowania systemu Windows (WFP) to podstawowa platforma zapory systemu Windows z zabezpieczeniami zaawansowanymi. Program WFP służy do konfigurowania reguł filtrowania sieci, które obejmują reguły, które zarządzają zabezpieczaniem ruchu sieciowego za pomocą protokołu IPsec. Deweloperzy aplikacji mogą skonfigurować protokół IPsec bezpośrednio przy użyciu interfejsu API WFP, aby skorzystać z bardziej szczegółowego modelu filtrowania ruchu sieciowego niż model uwidoczniony za pośrednictwem przystawki programu Microsoft Management Console (MMC) dla zapory systemu Windows z zabezpieczeniami zaawansowanymi.

Co to jest protokół IPsec

Zabezpieczenia protokołu internetowego (IPsec) to zestaw protokołów zabezpieczeń używanych do poufnego przesyłania pakietów IP przez Internet. Protokół IPsec był wcześniej obowiązkowy dla wszystkich implementacji IPv6 (ale zobacz wymagania dotyczące węzła IPv6; i opcjonalne dla protokołu IPv4.

Zabezpieczony ruch IP ma dwa opcjonalne nagłówki IPsec, które identyfikują typy ochrony kryptograficzne stosowanej do pakietu IP i zawierają informacje dotyczące dekodowania chronionego pakietu.

Nagłówek Encapsulating Security Payload (ESP) służy do ochrony prywatności i ochrony przed złośliwymi modyfikacjami przez przeprowadzenie uwierzytelniania i opcjonalnego szyfrowania. Może służyć do ruchu przechodzącego przez routery translatora adresów sieciowych (NAT).

Nagłówek uwierzytelniania (AH) jest używany tylko do ochrony przed złośliwymi modyfikacjami przez przeprowadzenie uwierzytelniania. Nie można go używać w przypadku ruchu przechodzącego przez routery NAT.

Aby uzyskać więcej informacji na temat protokołu IPsec, zobacz również:

IPsec — dokumentacja techniczna

Co to jest IKE

Internet Key Exchange (IKE) to protokół wymiany kluczy, który jest częścią zestawu protokołów IPsec. Protokół IKE jest używany podczas konfigurowania bezpiecznego połączenia i umożliwia bezpieczną wymianę kluczy tajnych i innych parametrów związanych z ochroną bez interwencji użytkownika.

Aby uzyskać więcej informacji na temat protokołu IKE, zobacz również:

Internet Key Exchange

Co to jest AuthIP

Uwierzytelniony protokół internetowy (AuthIP) to protokół wymiany kluczy, który rozszerza protokół IKEv1 w następujący sposób.

Chociaż protokół IKEv1 obsługuje tylko poświadczenia uwierzytelniania komputera, protokół AuthIP obsługuje również następujące funkcje:
  • Poświadczenia użytkownika: NTLM, Kerberos, certyfikaty.
  • Certyfikaty kondycji ochrony dostępu do sieci (NAP).
  • Poświadczenia anonimowe używane do uwierzytelniania opcjonalnego.
  • Kombinacja poświadczeń; na przykład kombinacja poświadczeń protokołu Kerberos maszyny i użytkownika.

AuthIP ma mechanizm ponawiania uwierzytelniania, który weryfikuje wszystkie skonfigurowane metody uwierzytelniania przed niepowodzeniem połączenia.
AuthIP można używać z bezpiecznymi gniazdami do implementowania ruchu zabezpieczonego za pomocą protokołu IPsec opartego na aplikacji. Zapewnia:

  • Uwierzytelnianie i szyfrowanie poszczególnych gniazd. Aby uzyskać więcej informacji, zobacz WSASetSocketSecurity.
  • Personifikacja klienta. (Protokół IPsec personifikuje kontekst zabezpieczeń, w którym utworzono gniazdo).
  • Weryfikacja nazwy elementu równorzędnego dla ruchu przychodzącego i wychodzącego. Aby uzyskać więcej informacji, zobacz WSASetSocketPeerTargetName.

Nuta

Firma Microsoft zaleca użycie protokołu IKEv2 zawsze, gdy jest to możliwe.

Co to są zasady protokołu IPsec

Zasady protokołu IPsec to zestaw reguł, które określają, jakiego typu ruchu IP należy zabezpieczyć przy użyciu protokołu IPsec i jak zabezpieczyć ten ruch. Tylko jedna zasada protokołu IPsec jest aktywna na komputerze jednocześnie.

Aby dowiedzieć się więcej na temat implementowania zasad protokołu IPsec, otwórz przystawkę MMC zasad zabezpieczeń lokalnych (secpol.msc), naciśnij F1, aby wyświetlić Pomoc, a następnie wybierz pozycję Tworzenie i używanie zasad protokołu IPsec z spisu treści.

Aby uzyskać więcej informacji na temat zasad protokołu IPsec, zobacz również:

omówienie pojęć dotyczących zasad protokołu IPsec
opis zasad protokołu IPsec

Jak używać programu WFP do konfigurowania zasad protokołu IPsec

Implementacja protokołu IPsec przez firmę Microsoft używa platformy filtrowania systemu Windows do konfigurowania zasad protokołu IPsec. Zasady protokołu IPsec są implementowane przez dodanie filtrów w różnych warstwach programu WFP w następujący sposób.

  • W warstwach FWPM_LAYER_IKEEXT_V{4|6} dodaj filtry określające zasady negocjacji używane przez moduły kluczy (IKE/AuthIP) podczas wymiany w trybie głównym (MM). Metody uwierzytelniania i algorytmy kryptograficzne są określane w tych warstwach.

  • W warstwach FWPM_LAYER_IPSEC_V{4|6} dodaj filtry określające zasady negocjacji używane przez moduły kluczy podczas wymiany trybu szybkiego (QM) i trybu rozszerzonego (EM). Nagłówki IPsec (AH/ESP) i algorytmy kryptograficzne są określane w tych warstwach.

    Zasady negocjacji są określane jako kontekst dostawcy zasad skojarzony z filtrem. Moduł kluczy wylicza konteksty dostawcy zasad na podstawie cech ruchu i uzyskuje zasady do użycia na potrzeby negocjacji zabezpieczeń.

    Nuta

    Interfejs API programu WFP może służyć do bezpośredniego określania skojarzeń zabezpieczeń (SA) i ignorowania zasad negocjacji modułu kluczy.

     

  • W warstwach FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} i FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} dodaj filtry wywołujące objaśnienie i określ, który przepływ ruchu powinien być zabezpieczony.

  • W warstwach FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} dodaj filtry, które implementują filtrowanie tożsamości i zasady dla aplikacji.

Na poniższym diagramie przedstawiono interakcję różnych składników programu WFP w odniesieniu do operacji protokołu IPsec.konfiguracji protokołu ipsec przy użyciu platformy filtrowania systemu Windows

Po skonfigurowaniu protokołu IPsec integruje się z usługą WFP i rozszerza możliwości filtrowania WFP, udostępniając informacje, które mają być używane jako warunki filtrowania w warstwach autoryzacji wymuszania warstwy aplikacji (ALE). Na przykład protokół IPsec udostępnia tożsamość użytkownika zdalnego i maszyny zdalnej, którą program WFP uwidacznia w warstwach połączenia ALE i akceptowania autoryzacji. Te informacje mogą służyć do szczegółowej autoryzacji tożsamości zdalnej przez implementację zapory opartej na programie WFP.

Poniżej przedstawiono przykładowe zasady izolacji, które mogą być implementowane przy użyciu protokołu IPsec:

  • FWPM_LAYER_IKEEXT_V{4|6} warstw — uwierzytelnianie Kerberos.
  • FWPM_LAYER_IPSEC_V{4|6} warstw — AH/SHA-1.
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} i FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} warstw — odnajdywanie negocjacji dla całego ruchu sieciowego.
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} warstw — protokół IPsec wymagany dla całego ruchu sieciowego.

warstwy programu WFP

identyfikatory warstwy filtrowania

warstw ALE

scenariusze zasad protokołu IPsec zaimplementowane przy użyciu interfejsu API WFP:

tryb transportu

negocjacji tryb transportu odnajdywania

tryb transportu odnajdywania negocjacji w trybie granicy

tryb tunelu

gwarantowane szyfrowanie

autoryzacji tożsamości zdalnej

ręczne protokołu IPsec SAs

wykluczenia IKE/AuthIP

rozwiązania IPsec:

Serwer i izolacja domeny

 

 

  • Last updated on