Пошаговое руководство по использованию протокола IPSec (Internet Protocol Security)

Пошаговое руководство по использованию протокола IPSec (Internet Protocol Security)
Посетителей: 44707 \| Просмотров: 74985 (сегодня 0)	Шрифт:

Объяснение процесса IKE-согласования (для опытных пользователей)

Этот раздел предназначен для тех, кто хочет более глубоко изучить процессы согласования IKE. Этого не требуется для выполнения ранее описанных в данном руководстве процедур. Подробное описание IPSec, IKE и других аспектов реализации представлено в информационном разделе веб-сайта, относящегося к операционным системам Windows 2000 Server и Professional. (Аналогичная информация представлена в справке, входящей в состав Windows 2000, хотя и с некоторыми незначительными отличиями. Для просмотра справки запустите оснастку IPSec Policy Management и выберите Справка (Help) или нажмите F1).

События отказа и успеха согласования IKE, а также причины отказа регистрируются в журнале Безопасность (Security). Процедура активирования аудита событий описана в начале данного руководства. Если сервер использует встроенную политику Сервер (запрос безопасности) (Server (request security)), либо любую пользовательскую политику, правила которой используют встроенные действия фильтров Запрос безопасности (необязательно) (Request Security (optional)), то согласование IKE может быть исключено в том случае, если адресат не ответил на запрос IKE. Это событие, называемое «мягким» сопоставлением безопасности (soft security association), также будет зафиксировано в журнале событий. Это также отразится в мониторе IP-безопасности: записи, имеющие в колонке Безопасность (Security) значение нет <none>. Если сервер находится в состоянии Безопасность сервера (Secure Server) и пытается подключиться к адресату, но не получает IKE-ответа от этого адресата, в журнале будет зарегистрировано событие отказа, имеющее причину Нет отклика (no response from peer).

При использовании политики Сервер (запрос безопасности) (Server (request security)) в журнале аудита на сервере Вы можете выявить и проследить адресатов, с которыми были установлены обычные соединения. Следовательно, в этом разделе Вы сможете лучше понять, как создается пользовательская политика, с помощью которой будет осуществляться защищенная передача данных с одними адресатами при разрешении незащищенной передачи данных открытым текстом с другими адресатам и инфраструктурами.

Основной режим IKE (фаза 1)

Изначально более полной формой IKE-согласования (основной режим, или фаза 1) выполняется проверка подлинности, и устанавливаются сопоставления безопасности IKE (security association, SA) между двумя машинами, которые вовлечены в генерацию материала основного ключа. Этот процесс называется сопоставлением безопасности IKE. Основной режим IKE контролируется системой на основе правил политики IPSec с использованием информации из соответствующих фильтров об адресах отправителя и получателя. Выполненное успешное сопоставление безопасности IKE может использоваться в течение 8 часов, что определяется заданными по умолчанию параметрами политик по умолчанию (Используемые параметры обмена ключами (Perform key exchange using additional settings) располагается на вкладке Общие (General)). Если обмен данными осуществляется интенсивно, то после истечения 8 часов основным режимом автоматически будет выполнено новое сопоставление. Сопоставление безопасности основного режима IKE не отображается в мониторе IP-безопасности. Однако, локальный администратор может просмотреть необходимую информацию, выполнив в командной строке команду netdiag.exe /test:ipsec /v. Средство поддержки netdiag.exe находится на установочном компакт-диске ОС Windows 2000 в папке \Support.

Быстрый режим IKE (фаза 2)

Сокращенная версия согласования IKE (быстрый режим) происходит после выполнения основного режима сопоставления безопасности IPSec для защиты конкретного трафика. При этом используются адреса отправителя и получателя (а если указано, то порты и протоколы), указанные в фильтрах политики. Согласование сопоставления безопасности IPSec касается выбора алгоритмов, генерирования ключей сеанса и определения количества индексов параметров безопасности (Security Parameter Index, SPI), используемых в пакетах. Устанавливаются два сопоставления безопасности IPSec, причем каждое имеет свой собственный SPI (в качестве метки пакета): один для исходящего трафика, а второй – для входящего. В мониторе IP-безопасности отображается только одно сопоставление безопасности исходящего трафика. После пяти минут простоя входящего сопоставления безопасности оба сопоставления безопасности (и входящее, и исходящее) будут аннулированы, в результате чего информация о сопоставлении безопасности, относящаяся к исходящему трафику, исчезнет с монитора IP-безопасности. При возобновлении передачи данных с использованием IPSec будет выполнено новое согласование IKE быстрого режима для установления двух новых сопоставлений безопасности IPSec с использованием новых ключей и индексов SPI. В соответствии со значениями, заданными по умолчанию для методов безопасности, требуется выполнение новых сопоставлений безопасности IPSec быстрого режима либо через час (3600 секунд) работы, либо после 100 Мб переданных данных. В случае интенсивной передачи данных за пять минут до истечения срока действия сопоставлений безопасности будет автоматически выполнено новое согласование. Инициатором нового быстрого согласования будет либо сторона, передавшая больший объем данных, либо сторона-инициатор предыдущего быстрого согласования безопасности.

Наверх страницы

Устранение неполадок

Устранение неполадок в конфигурации политик

Данное руководство посвящено только локальным IPSec-политикам компьютера, которые используют транспортный режим IPSec (не туннельный) при защищенной передаче данных между отправителем и получателем. Это руководство не касается использования групповых политик службы каталогов Active Directory для распространения политик IPSec. Конфигурирование политик IPSec является очень гибким и мощным средством, поэтому для выполнения корректной настройки от Вас требуется понимание протоколов IPSec и процесса согласования IKE. Существует множество конфигурационных настроек безопасности, которые Вы могли бы использовать. Выполните поиск статей в базе знаний Microsoft, касающихся IPSec, а также обратитесь к справочной системе. Дополнительные примечания, находящиеся ниже по тексту, направлены помочь Вам понять, что изначально не поддерживается в конфигурациях политик. Если у Вас не получается установить соединение с помощью IPSec, выполните описанные ниже процедуры для создания простейшей политики протестируйте соединение с ее помощью.

Используйте только один метод проверки подлинности между двумя узлами

Политики IPSec запланированы таким образом, что может быть использоваться только один из методов проверки подлинности при взаимодействии двух узлов независимо от того, сколько методов указывалось при конфигурировании. Если у Вас есть несколько правил, применяемых к одной паре компьютеров (на основе IP-адресов отправителя и получателя), то Вы должны убедиться, что в этих правилах определен одинаковый метод аутентификации для использования обоими компьютерами. Вы должны также убедиться, что используются корректные учетные данные для выбранного метода аутентификации. Например, с помощью оснастки IPSec Вы можете сконфигурировать одно правило, которое использует аутентификацию Kerberos при передаче данных между узлами посредством TCP, и создать второе правило для тех же узлов, но, определив, что при передаче данных по протоколам UDP будет использоваться аутентификация с помощью сертификатов. Такая политика будет не работоспособной, поскольку для исходящего трафика будет выбрано более жесткое правило (поскольку в нем указан протокол UDP, а не только адреса) и в результате при основном режиме согласования IKE второй компьютер будет пытаться найти соответствующее правило в своей политике (в которой указан IP-адрес источника пакета IKE). Таким образом, в этой конфигурации политики используются два различных метода проверки подлинности для одной пары IP-адресов (хостов). Чтобы избежать этой проблемы, не используйте фильтры на основе протоколов или портов при согласовании безопасности передачи данных. Вместо этого задавайте протоколы и порты в конкретных фильтрах преимущественно для разрешения или запрета конкретных типов трафика.

Односторонняя защита IPSec неразрешенного трафика

Политики IPSec не предназначены для установления односторонней защиты трафика с помощью IPSec. Если Вы создаете правило для защиты трафика между узлами А и B (на основе их IP-адресов), то Вы должны указать как трафик в направлении от узла A к узлу B, так и трафик направления от узла B к узлу A в одном и том же списке фильтров. Для этого Вы должны создать два фильтра в одном и том же списке фильтров. В качестве альтернативы Вы можете воспользоваться диалоговым окном Свойства: Фильтр (Filter Specification Properties) из оснастки IPSec и использовать опцию Отраженный (Mirrored). Этот флажок установлен по умолчанию, поскольку защита должна быть согласована для обоих направлений, даже если передача данных осуществляется преимущественно в одном направлении.

Вы можете создать односторонние фильтры для блокирования или разрешения передачи данных, но не для защиты передаваемых данных. Для защиты трафика Вы либо должны определить отраженный фильтр вручную, либо позволить системе создать его автоматически, если установлен флажок Отраженный (Mirrored).

Сертификаты компьютера должны иметь закрытый ключ

Некорректно полученные сертификаты могут стать причиной того, что сертификат существует и выбран для использования проверкой подлинности согласования IKE, но не может быть применен, поскольку на компьютере отсутствует соответствующий сертификату закрытый ключ.

Для проверки того, что сертификат имеет закрытый ключ

1.	В меню Пуск (Start) нажмите Выполнить (Run), введите mmc и нажмите OK.
2.	В меню Консоль (Console) нажмите Добавить или удалить оснастку (Add/Remove Snap-in) и нажмите Добавить (Add).
3.	В списке Оснастки (Snap-in) щелкните дважды по оснастке Сертификаты (Certificates), выберите учетная запись компьютера (Computer account), нажмите Далее (Next), выберите Локальный компьютер (Local computer), нажмите Готово (Finish), нажмите Закрыть (Close) и нажмите OK.
4.	Раскройте корень оснастки Сертификаты (локальный компьютер) (Certificates-User (local computer)) и затем раскройте узел Личные (Personal).
5.	Нажмите на папку Сертификаты (Certificates).
6.	На правой панели щелкните дважды по сертификату, который Вам необходимо проверить.

На вкладке Общие (General) Вы должны увидеть текст: Есть закрытый ключ соответствующий этому сертификату (You have a private key that corresponds to this certificate). Если Вы не видите этого сообщения, значит, системой не сможет использоваться этот сертификат для IPSec. В зависимости от того, как был осуществлен запрос сертификата и как он был занесен в локальное хранилище сертификатов хоста, этот закрытый ключ может либо не существовать, либо может быть недоступен для использования для согласования IKE. Если сертификат в папке Личные (Personal) не имеет соответствующего закрытого ключа, по-видимому, причина этого в неудачной регистрации сертификата. Если же сертификат был получен с публичного сервера сертификатов Microsoft с опцией усиленная защита закрытого ключа (strong private key protection), то пользователь должен вводить PIN-код каждый раз при предоставлении доступа к закрытому ключу, который используется для подписи данных в процессе IKE-согласования. Поскольку согласование IKE выполняется в фоновом режиме системной службой, то окно запроса PIN-кода не будет отображаться. Поэтому сертификат, полученный с этой опцией, будет не работоспособным при проверке подлинности IKE.

Создание и тестирование простейшей политики

Большинство проблем, в частности проблемы взаимодействия, могут быть решены созданием простейшей политики, а не использованием политик по умолчанию. Когда Вы создаете новую политику, то не разрешайте использование IPSec-туннеля и не используйте правило ответа по умолчанию. Для редактирования политики используйте вкладку Общие (General), при этом ключ обмена должен использовать только одну опцию, которую примет адресат. Например, используйте опции, определенные документом RFC 2049, такие как DES, SHA1 с группой Диффи-Хелмана 1 (низкая). Создайте список фильтров с одним отраженным фильтром, который определяется IP-адресом отправителя (мой IP-адрес) и IP-адресом получателя, с которым Вы пытаетесь установить защищенное соединение. Мы рекомендуем протестировать созданный фильтр, который содержит только IP-адреса. Создайте Ваше собственное действие фильтра для согласования безопасности, использующего только один метод безопасности. Если Вам необходимо просмотреть передачу данных в виде форматированных IPSec-пакетов с помощью анализатора пакетов, используйте средний уровень безопасности (Medium Security). Либо определите пользовательский уровень и создайте один единственный метод безопасности. Например, используйте определенный документом RFC 2049 набор параметров, таких как формат ESP, используя DES вместе c SHA1 с неограниченным сроком жизни и неуказанным режимом безопасной пересылки. Убедитесь, что оба флажка – Принимать небезопасную связь, но не отвечать с помощью IPSec (Accept unsecured communication, but always respond using IPSec) и Разрешить связь с компьютерами не поддерживающими IPSec (Allow unsecured communication with non-IPSec aware computer), используемых при определении метода безопасности, сняты. Это запретит коммуникацию с компьютерами, не поддерживающими IPSec, и запретит использование незащищенных соединений. При использовании метода аутентификации с помощью предварительных ключей, убедитесь, что не используются пробелы в строках символов, и что адресат использует точно такой же предварительный ключ.

Примечание. Второй компьютер должен иметь такую же политику IPSec, за исключением того, что адреса отправителя и получателя должны быть изменены на противоположные.

Вы должны назначить эту политику на компьютере, затем выполнить команду ping для проверки доступности второго компьютера в сети. В результате этой команды Вы должны получить ответы Согласование безопасности (Negotiating security). Это указывает на то, что фильтры политики применяются, и что IKE пытается выполнить согласование безопасности с адресатом на основе пакетов, отправленных командой ping. Если после выполнения несколько раз подряд команды ping Вы увидите Согласование используемого уровня безопасности IP (Negotiating IP Security), то, вероятно, Вы имеете работоспособную политику, иначе у Вас имеются проблемы при согласовании IKE. Обратитесь к разделу «Устранение неполадок при согласовании IKE», представленном ниже.

Устранение неполадок при согласовании IKE

Служба IKE работает в составе службы агента политики IPSec (IPSec Policy Agent). Убедитесь, что эта служба запущена. Также убедитесь, что выполняется аудит успешных и неудачных событий с помощью политики Аудит входа в систему (Audit Logon Events). В журнале безопасности будут регистрироваться события, относящиеся к службе IKE, в которых также будет предоставлены пояснения о причинах невыполненных согласований.

Сброс состояния IKE: Перезапуск службы агента политики IPSec

Для выполнения сброса состояния согласования IKE необходимо остановить и запустить службу агента политики. Из командной строки, пользователем с правами локального администратора, выполните следующие команды:

net stop policyagent net start policyagent

Повторите Ваши шаги для защиты трафика.

Внимание. Когда Вы остановите службу агента политики IPSec, все действующие IPSec фильтры будут деактивированы. Активные VPN-туннели не будут больше защищены посредством IPSec. Если у Вас также запущены службы маршрутизации и удаленного доступа (Routing or Remote Access) или у Вас имеются активные входящие подключения VPN, то Вы должны остановить службу маршрутизации и удаленного доступа, выполнив команду net stоp remoteaccess, и повторно запустить ее, выполнив команду net start remoteaccess после перезапуска службы агента политики IPSec.

Использование журнала событий безопасности для поиска ошибок IKE

Записи в журнале безопасности содержат описания причин неуспешных согласований IKE. Используйте эти записи журнала для определения того, какое из согласований не выполнено и почему. Вы должны разрешить аудит, используя процедуру, описанную в начале данного руководства.

Использование анализатора пакетов (Sniffer)

Если ничто из вышеперечисленного Вам так и не помогло, а Вы, к сожалению, так и не прочитали раздел «Понимание IKE-согласования (для опытных пользователей)», то сделаете следующее.

Для более подробного исследования пакетов, перехваченных в процессе обмена, используйте анализатор пакетов, например, Сетевой монитор (Microsoft Network Monitor). Помните, что основное содержимое пакетов зашифровано вследствие согласования IKE и не может быть интерпретировано анализатором пакетов. Хотя, может быть, придется проанализировать весь трафик, отправленный компьютером, чтобы убедиться, что Вы видите именно то, что рассчитывали увидеть. Ограниченная версия Microsoft Network Monitor входит в состав Windows 2000 Server, учтите, что этот инструмент и не установлен по умолчанию. Для его установки в Панели управления (Control Panel) откройте Установка и удаление программ (Add or Remove Programs), перейдите в раздел Добавление и удаление компонентов Windows (Add/Remove Windows Components) в диалоговом окне Мастер компонентов Windows (Windows Components Wizard), выберите Средства управления и наблюдения (Management and Monitoring Tools), нажмите Состав (Details) и выберите Средства сетевого монитора (Network Monitor Tools).

Использование трассировки отладки IKE (для квалифицированных пользователей)

Журнал событий безопасности – лучшее средство для определения причин отказа согласования IKE. Однако для специалистов в области протокола согласования IKE может быть полезна опция трассировки отладки согласования IKE, которая активируется специальным ключом реестра. Регистрация событий, относящихся к трассировке отладки, по умолчанию отключена. Для активирования регистрации событий отладки Вы должны остановить и повторно запустить службу агента политики IPSec.

Чтобы активировать регистрацию событий отладки IKE

1.	В меню Пуск (Start) нажмите Выполнить (Run) и введите в текстовое поле regedit32. Нажмите OK, при этом будет запущен Редактор реестра (Registry Editor).
2.	Перейдите в окно HKEY_LOCAL_MACHINE на локальном компьютере (HKEY_LOCAL_MACHINE on Local Machine).
3.	Перейдите в узел System\CurrentControlSet\Services\PolicyAgent
4.	Щелкните дважды по узлу PolicyAgent.
5.	Если раздел Oakley не существует, в меню Правка (Edit) нажмите Добавить раздел (Add Key).
6.	В поле Раздел (Key Name) с учетом регистра введите: Oakley.
7.	Поле Класс (Class) оставьте пустым и нажмите OK.
8.	Выберите вновь созданный раздел Oakley.
9.	В меню Правка (Edit) нажмите Добавить параметр (Add Value).
10.	В поле Параметр (Value Name) с учетом регистра введите: EnableLogging.
11.	Выберите Тип данных (Data Type) REG_DWORD и нажмите ОК.
12.	Введите значение 1.
13.	В разделе Представление (Radix) установите переключатель в положение Шестнадцатеричное (Hex) и нажмите ОК.
14.	Закройте Редактор реестра (Registry Editor).
15.	В командной строке Windows 2000 поочередно выполните команды net stop policyagent и net start policyagent для перезапуска служб, используемых IPSec.

После перезапуска службы агента политики новый файл журнала по умолчанию будет записан в windir\debug\oakley.log, а в файле oakley.log.sav будет сохранена предыдущая версия журнала.

Размер журнала ограничен 50000 записями, что обычно соответствует файлу размером не более 6 Мб.

Наверх страницы

Дополнительная информация

Для получения самой последней информации об операционной системе Windows 2000 посетите веб-сайт http://www.microsoft.com/windows2000/.

Инструментарий и информация об IPSec, находящиеся на компакт-диске Windows 2000

•	Оснастка Политики безопасности IP для конфигурирования политик
•	Монитор IP-безопасности (IPSecmon.exe) для просмотра активного состояния
•	Свойства IPSec пользовательского интерфейса сетевых подключений
•	Оснастка Просмотр событий
•	Оснастка Групповые политики для просмотра локальных политик аудита безопасности
•	Регистрация событий IKE в журнале Oakley.log
•	Справочная система
•	Контекстная справка
•	Команда netdiag/test:ipsec /v /debug

Инструментарий и информация об IPSec, входящие в состав пакета Windows 2000 Resource Kit

•	Глава IPSec
•	ipsecpol.exe – программа для создания и удаления политик из командной строки
•	Инструментарий групповых политик – для просмотра, какие групповые политики применены
•	Пошаговое руководство по использованию протоколов IPSec (Internet Protocol Security) (этот документ)
•	Доступные сценарии развертывания

Для получения информации о заданных по умолчанию параметрах безопасности в Windows 2000 обратитесь к официальному документу на веб-сайте http://www.microsoft.com/windows2000.

Наверх страницы

Связанные ресурсы

•	Пошаговое руководство по развертыванию базовой инфраструктуры Windows 2000 Server. Часть 1. Установка Windows 2000 Server в качестве контроллера домена (Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment Part 1: Installing a Windows 2000 Server as a Domain Controller) http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx (EN)
•	Пошаговое руководство по развертыванию базовой инфраструктуры Windows 2000 Server. Часть 2. Установка рабочих станций Windows 2000 Professional и подключение их к домену (Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment Part 2: Installing a Windows 2000 Professional Workstation and Connecting it to a Domain) http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx (EN)
•	Справочная система Windows 2000 Server http://windows.microsoft.com/windows2000/en/server/help/ (EN)
•	Руководство по планированию и развертыванию Windows 2000 (Windows 2000 Planning and Deployment Guide) http://www.microsoft.com/windows2000/techinfo/planning/default.asp (EN)
•	База знаний Microsoft http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO&sd=GN&ln=EN-US

Информация по стандартам IETF доступна по следующим ссылкам:

•	Протокол IPSec http://www.ietf.org/ids.by.wg/ipsec.html (EN)
•	Расширения протокола PPP http://www.ietf.org/html.charters/pppext-charter.html (EN)
•	Расширения протокола L2TP http://www.ietf.org/html.charters/pppext-charter.html (EN)

Наверх страницы

Страницы: < 1 2 3

Автор: Александр Пидодня aka Архимед • Иcточник: (переведено с англ.) Microsoft Technet • Опубликована: 28.10.2006

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: