HyperLink
Bejelentkezés
E-mail: 
Jelszó: 





Skip Navigation Links
 

IPSec Windows 2003-ban


IPSec csatorna Windows 2003-ban 1. rész

Mostani cikksorozatunkban a Windows 2003 szerverben konfigurálunk egy példaesetet, amikor is egy Windows 2003 szerver átjárót kötünk össze IPSec csatornával, egy nem Microsoft átjáróval. Első cikkünkben az alaphelyzetet tisztázzuk és létrehozzuk a szűrőket, valamint az IPSec házirendet.

Az IP Security (IPSec) csatornamód beágyazódik az IP protokollba, és lehetőség szerint titkosítja azt. Az első indíték, hogy az IPSec csatornamódot használjuk Windows 2003-ban, az együttműködési képessége a nem Microsoft útválasztókkal vagy átjárókkal, amelyek nem támogatják a Layer 2 Tunneling Protocol (L2TP)/IPSec-et, vagy a PPTP virtuális magánhálózat technológiát.
A Windows 2003 szerver támogatja az IPSec csatornaprotokollt azokban az esetekben, ahol mindkét csatorna-végpontnak statikus IP-címe van. Ez elsődlegesen az átjáró-átjáró megvalósításnál hasznos. Habár ez működhet speciális hálózati biztonság környezetében egy útválasztó vagy átjáró, és egy szerver között. (Például egy Windows 2003 szerver útválasztó, ami átirányítja a forgalmat a külső interfészéről egy belső Windows 2003 szerver-alapú gépre, amely megvédi a belső utat, egy IPSec csatornát létrehozva a belső szerverhez, amely a külső klienseknek kínál szolgáltatásokat.)
A Windows 2003 szerver IPSec csatorna nem támogatott azokon a klienseken, amelyek távoli elérésű VPN-ek, mivel az IETF IPSec RFC nem nyújt távoli elérésű megoldást az Internetes kulcscsere-protokollban a kliens-átjáró kapcsolatoknál. Az IETF RFC 2661, L2TP a Cisco, Microsoft és mások által kifejlesztett, hogy kliens VPN távoli elérést nyújtson. A Windows 2003 szerverben a kliens távoli elérésű VPN kapcsolatok védettek egy automatikusan generált IPSec házirend használatával, amely az IPCes átviteli módot használja (nem a csatorna módot), amikor az L2TP csatornatípus a kiválasztott.
A Windows 2003 szerver IPSec csatorna szintén nem támogatja a protokoll- és port-specifikus csatornákat. Amíg az mmc IPSec házirend snap-in nagyon általános és lehetőséget ad bármely típusú szűrőre való asszociációhoz egy csatornával, biztosak lehetünk abban, hogy csak a csatornához tartozó szabály címinformációját használjuk.
Cikksorozatunk bemutatja, hogyan kell beállítani egy IPSec csatornát Windows 2003 átjárón. Mivel az IPSec csatorna csak azt a forgalmat titkosítja, amely az IPSec szűrőkben konfigurált, ez a cikk szintén leírja, hogy hogyan állíthatók be szűrők a Routing and Remote Access szolgáltatásban, hogy meggátoljuk a forgalom csatornán kívüli bonyolítását. A következő környezetet tekintjük, mint alapesetet:
Hálózati elem Leírás
NetA A hálózati azonosítója a Windows 2003 átjáró belső hálózatának.
Win2003IntIP A Windows 2003 átjáró belső hálózati interfészének IP-címe.
Win2003ExtIP A Windows 2003 átjáró külső hálózati interfészének IP-címe.
3rdIntIP A nem Microsoft átjáró belső hálózati interfészének IP-címe.
3rdExtIP A nem Microsoft átjáró külső hálózati interfészének IP-címe.
NetB A hálózati azonosítója a nem Microsoft hálózati átjáró belső hálózatának.
A cél az, hogy a Windows 2003 szerver átjáró és a nem Microsoft átjáró létrehozzon egy IPSec csatornát, amikor a NetA hálózatról a forgalomnak a NetB hálózatra kell átjutnia, vagy amikor az ellenkező irányba történik route-olás, akkor az is titkos viszonyban zajlódjon.
Ha be akarunk állítani egy IPSec házirendet, akkor két szűrőt kell készítenünk: az egyik szűrő illeszkedjen a NetA-ból NetB-be haladó csomagokra (csatorna1) és egy másik szűrő az ellenkező irányú adatfolyamra (csatorna2). Be kell állítanunk egy szűrőműveletet, hogy megadjuk, miként lesz a csatorna titkosított (egy csatorna a szabállyal reprezentálható, így két szabály készül).
IPSec házirend készítése
Tipikus esetben egy Windows 2003 szerver átjáró nem tagja egy tartománynak sem, így egy helyi IPSec házirend készül. Ha a Windows 2003 szerver átjáró egy tartományi tag, ahol az IPSec házirend vonatkozik minden tagjára a tartománynak, akkor ez meggátolja a Windows 2003 átjárót, hogy helyi IPSec házirendje legyen. Ebben az esetben létrehozhatunk egy szervezeti egységet az Active Directory-ban, és az átjárót ennek a szervezeti egységnek a tagjai közé kell felvennünk, majd hozzárendelni egy IPSec házirendet a szervezeti egység csoportházirend objektumához.
  • Kattintsunk a Start-ra, majd a Run-ra, majd írjuk be, hogy secpol.msc, hogy elinduljon az IP Security Policy Management snap-in.
  • Kattintsunk jobb egérgombbal az IP Security Policies-re a Local Computer-ben, és kattintsunk a Create IP Security Policy-ra.
  • Kattintsunk a Next-re, és ezután adjunk meg egy nevet a házirendhez (például, IPSec csatorna nem Microsoft átjáróval). Kattintsunk a Next-re.
Megadhatunk információt a leírásablakba is.
  • Töröljük az Activate the default response rule check box-ot, és kattintsunk a Next-re.
  • Kattintsunk a Finish-re (hagyjuk az Edit check box-ot bepipálva).
Megjegyzés: Az IPSec házirend alapértelmezett beállításokkal jön létre, IKE fő módban. Az IPSec csatorna két szabályból épül fel. Minden szabály megad egy csatorna-végpontot. Mivel két csatorna-végpont található, két szabály lesz. Az első reprezentálja a forrás és a cél IP-címeit az IP-csomagoknak, amelyek a csatorna végpontjába lesznek küldve.
Szűrőlista készítése NetA-ból NetB-be
  • Az új házirend tulajdonságaiban töröljük a Use Add Wizard check box-ot, majd kattintsunk az Add to create a new rule-ra.
  • Kattintsunk az IP Filter List lapra, és kattintsunk az Add-ra.
  • Adjunk meg egy megfelelő nevet a szűrőlistának, töröljük a Use Add Wizard check box-ot, és kattintsunk az Add-ra.
  • A Source address dobozban kattintsunk az A specific IP Subnet-re, és ezután adjunk meg egy IP-címet és alhálózati maszkot a NetA-nak.
  • A Destination address dobozban kattintsunk az A specific IP Subnet-re, és ezután írjuk be az IP-címet és az alhálózati maszkot a NetB-hez.
  • Töröljük a Mirrored check box-ot.
  • Kattintsunk a Protocol lapra. Bizonyosodjunk meg arról, hogy a Protocol type beállítása Any, mivel az IPSec csatornák nem támogatják a protocol-specifikus vagy port-specifikus szűrőket.
  • Ha meg akarunk adni egy leírót a szűrőhöz, kattintsunk a Description lapra. Itt általában érdemes megadni ugyanazt a nevet a szűrőhöz, mint a szűrőlistánál. A szűrő neve megjelenik az IPSec monitor-on, amikor a csatorna aktív.
  • Kattintsunk az OK-ra.
Szűrőlista készítése NetB-ből NetA-ba
  • Kattintsunk az IP Filter List lapra, és ezután kattintsunk az Add-ra.
  • Adjunk meg egy megfelelő nevet a szűrőlistának, töröljük a Use Add Wizard check box-ot, és ezután kattintsunk az Add-re.
  • In the Source address box, click A specific IP Subnet, and then type the IP Address and Subnet mask for NetB.
  • A Destination address dobozban válasszuk az A specific IP Subnet-et, és ezután írjuk be az IP-címét és alhálózati maszkját a NetA-nak.
  • Töröljük a Mirrored check box-ot.
  • Ha a szűrőhöz meg szeretnénk adni egy leírást, akkor kattintsunk a Description lapra.
  • Kattintsunk az OK-ra.



Könyv
Ez a cikk megtalálható ebben a könyvben: Windows Software Offline 2003 évkönyv 756. oldal

Felhasználási feltételek
A Software Online szoftverfejlesztői magazin mindegyik cikke, minden megjelent képe, és egyéb publikált anyaga szerzői jog védelme alatt áll! Bármilyen formában történő másodlagos terjesztésük, közzétételük vagy felhasználásuk kizárólag a kiadó előzetes írásbeli engedélyével történhet!

Copyright © 1999-2012 Animare Software Kft. Minden jog fenntartva!
| Készült: Animare Stúdió | Adatvédelem | Kapcsolat |