HyperLink
Bejelentkezés
E-mail: 
Jelszó: 





Skip Navigation Links
 

IPSec Windows 2003-ban


IPSec csatorna Windows 2003-ban 2. rész
Példaprogram letöltése

1991 bájt

Az IPSec példaeset megvalósításán keresztül folytatjuk a csatorna konfigurálását Windows 2003 szerveren. Beállítjuk a két hálózat közti szabályt mindkét irányú forgalomhoz, majd IPSec házirendet rendelünk az átjárókhoz.

Szabály beállítása a NetA-ból NetB-be tartó csatornához
  • Kattintsunk az IP Filter List lapra, és ezután válasszuk ki az általunk létrehozott szűrő listát.
  • Kattintsunk a Tunnel Setting lapra, kattintsunk a The tunnel endpoint is specified by this IP Address dobozba, és írjuk be a 3rdextip címet (ahol a 3rdextip a nem Microsoft átjáró külső hálózati csatolójának IP címe).
  • Kattintsunk a Connection Type lapra, majd az All network connections-ra (vagy kattintsunk a Local area network (LAN)-ra, ha a WIN2003extIP nem ISDN, PPP, vagy direkt soros kapcsolat).
  • Kattintsunk a Filter Action lapra, töröljük az Use Add Wizard checkbox-ot, és ezután kattintsunk az Add-ra, hogy létrehozzunk egy új szűrőműveletet, mivel az alapértelmezett műveletek a bejövő forgalmat tiszta szövegként engedélyezik.


  • Hagyjuk a Negotiate security opciót bekapcsolva, és ezután töröljük az Accept unsecured communication, but always respond using IPSec checkbox-ot. Ezt a biztonságos műveletek miatt kell megtennünk.
A Filter Action dialógusdoboz alján lévő checkbox-ok közül egyik sem bejelölt a csatorna szabályokra vonatkozó szűrőműveletek kezdeti beállításainál.
Csak a Use session key perfect forward secrecy (PFS) checkbox a csatornákra érvényes beállítás, ha a csatorna másik vége szintén úgy van beállítva, hogy a PFS-t használja.
  • Kattintsunk az Add-re, és hagyjuk az Integrity and encryption opciót bekapcsoltan (vagy választhatjuk a Custom (for expert users) opciót, ha speciális algoritmusokat és session kulcs élettartamot akarunk választani). Encapsulating Security Payload (ESP) a két IPSec protokoll közül az egyik.
  • Kattintsunk az OK-ra, majd a General lapra, írjunk be egy nevet az új szűrőműveletnek (pl.: IPSec csatorna: ESP DES/MD5), és kattintsunk az OK-ra.
  • Válasszuk ki a frissen létrehozott szűrőműveletet.
  • Kattintsunk az Authentication Methods lapra, állítsuk be a hitelesítési módszert, amelyet akarunk (használjunk előre osztott kulcsot tesztelésre, és másként használjunk bizonyítványt). A Kerberos technikailag akkor lehetséges, ha mindkét vége a csatornának megbízásos tartományban van, és mindegyik megbízotti tartomány IP címe (a tartományvezérlő IP címe) elérhető a hálózaton a csatorna túlsó végéről az csatorna IKE megegyezése alatt (mielőtt az létrejön). De ez ritka.
  • Kattintsunk a Close-ra.
Szabály beállítása a NetB-ből NetA-ba tartó csatornához
  • Az IPSec házirend tulajdonságaiban kattintsunk az Add-ra, hogy létrehozzunk egy új szabályt.
  • Kattintsunk az IP Filter List lapra és válasszuk ki a létrehozott szűrőlistát (NetB-ből NetA-ba).
  • Kattintsunk a Tunnel Setting lapra, kattintsunk a The tunnel endpoint is specified by this IP Address dobozba, és írjuk be a WIN2003extIP-t (ahol a WIN2003extIP a Windows 2003 szerver átjáró külső hálózati adapterének IP címe).
  • Kattintsunk a Connection Type lapra, válasszuk az All network connections-t (vagy kattintsunk a Local area network (LAN)-ra ha a WIN2003extIP nem egy ISDN, PPP, vagy közvetlen soros kapcsolat). Bármely kívülre irányított forgalmat a szűrővel egyező típusú interfészen megpróbál beküldeni a csatorna végpontjába, ami a szabályban megadott. A szűrőre illeszkedő bejövő forgalom el lesz dobva, mivel biztonságosan kell megérkeznie egy IPSec csatornán.
  • Kattintsunk a Filter Action lapra, és válasszuk azt a szűrőműveletet, amelyet létrehoztunk.
  • Kattintsunk az Authentication Methods lapra, és ezután állítsuk be ugyanazt a módszert, amelyet az első szabálynál használtunk (mindkét szabálynál ugyanazt kell alkalmaznunk).
  • Kattintsunk az OK-ra, bizonyosodjunk meg arról, hogy mindkét szabály, amelyet létrehoztunk a házirendünkben engedélyezett, és kattintsunk az OK-ra ismét.
Rendeljük az IPSec házirendet a Windows 2003 szerver átjárónkhoz
Az mmc snap-in IP Security Policies részében kattintsunk jobb egérgombbal az új házirendre és kattintsunk az Assign-ra. Egy zöld nyíl jelenik meg a mappa ikonban a házirendünkhöz.
Miután a házirend hozzárendelés megtörtént, két plusz aktív szűrőnk van (RRAS automatikusan készít IPSec szűrőket az L2TP forgalomhoz). Ahhoz, hogy lássuk az aktív szűrőket, írjuk be a következő parancsot a parancssorba: 
netdiag /test:ipsec /debug
Igény szerint átirányíthatjuk a parancs kimenetét egy text állományba, amelyet megtekinthetünk egy szövegszerkesztővel, ekkor írjuk be ezt: 
netdiag /test:ipsec /debug > filename.txt
A netdiag parancs akkor elérhető, ha telepítettük a Windows 2003 szerver Support Tools csomagot, amely megtalálható a Windows 2003 CD Support\Tools mappájában.
A mellékelt text állományban példát láthatunk a netdiag kimenetére (csatornaszűrő).
Az útválasztás és távoli elérés szűrésének beállítása
Ha meg akarjuk gátolni azt a forgalmat, amelynek a forrás és cél címe nem illeszkedik NetA-ba vagy NetB-be, akkor hozzunk létre egy kimeneti szűrőt a külső interfészre a Routing and Remote Access mmc-vel, így a szűrő elvet minden forgalmat, kivéve a NetA-ból NetB-be tartó csomagokat. Szintén készítsünk egy bemeneti szűrőt, így a szűrő elvet minden forgalmat, kivéve a NetB-ből NetA-ba tartó csomagokat.
Szintén engedélyezni kell a forgalmat a WIN2003extIP és a 3rdExtIP között oda-vissza, hogy lehetővé tegyük az IKE megegyezést, amikor a csatorna felépítés alatt áll. Routing and Remote Access szűrés teljesülhet az IPSec felett. Nem kell külön engedélyeznünk az IPSec protokollt, mivel ez soha nem éri el az IP csomagszűrő réteget. A következő példa egy nagyon egyszerű mintája a Windows 2003 szerver TCP/IP architektúrájának: 
Alkalmazási réteg
Szállítási réteg (TCP|UDP|ICMP|RAW)
---- Hálózati réteg kezdete ---- 
IP csomagszűrő (ahol a NAT/Routing and Remote Access szűrés megvalósul)
IPSec (ahol az IPSec szűrés van)
Darabolás/Összeállítás
---- Hálózati réteg vége ------ 
NDIS interfész
Adatkapcsolati réteg
Fizikai réteg
Ahhoz, hogy beállítsuk a szűrőket a Routing and Remote Access szolgáltatásban, töltsük be a Routing and Remote Access mmc-t és kövessük ezeket a lépéseket:
  • Nyissuk le a szerver fát a Routing and Remote Access alatt, nyissuk le az IP Routing al fát, és kattintsunk a General-ra.
  • Kattintsunk jobb egérgombbal a WIN2003extIP-re, és kattintsunk a Properties-re.
  • Kattintsunk az Outbound Filters-re, és ezután kattintsunk a New-ra.
  • Jelöljük be a Source network and Destination network checkbox-okat.
  • A Source network dobozban írjuk be az IP address és Subnet mask értékeket a NetA-hoz.
  • A Destination network dobozban írjuk be az IP address és Subnet mask értékeket a NetB-hez.
  • Hagyjuk a protokoll beállítást Any-n, és kattintsunk az OK-ra.
  • Kattintsunk a New-ra, és ezután jelöljük be a Source network és Destination network checkbox-okat.
  • A Source network dobozban írjuk be az IP address és Subnet mask értéket a WIN2003extIP-hez.
  • A Destination network dobozban írjuk be az IP address és Subnet mask értékeket a 3rdExtIP-hez (az IKE megállapodáshoz használjunk egy 255.255.255.255-ös alhálózati maszkot).
  • Hagyjuk meg a protokoll beállítást Any-n, és ezután kattintsunk az OK-ra.
  • Válasszuk a Drop all packets except those that meet the criteria below checkbox-ot, és ezután kattintsunk az OK-ra.
  • Kattintsunk az Input Filters-re, majd az Add-re, és ezután jelöljük be a Source network és Destination network checkbox-okat.
  • A Source network dobozba írjuk be az IP address és Subnet mask értékeket a NetB-hez.
  • A Destination network dobozban adjuk meg az IP address és Subnet mask értékeket a NetA-hoz.
  • Hagyjuk a protokoll beállítást Any-n, és ezután kattintsunk az OK-ra.
  • Kattintsunk a New-ra, és válasszuk a Source network és Destination network checkbox-okat.
  • A Source network dobozban adjuk meg az IP address és Subnet mask értéket a 3rdExtIP-hez.
  • A Destination network dobozban adjuk meg az IP address és Subnet mask értéket a WIN2003extIP-hez (az IKE megállapodáshoz használjunk egy 255.255.255.255-ös alhálózati maszkot).
  • Hagyjuk a protokoll beállítást Any-n, és ezután kattintsunk az OK-ra.
  • Válasszuk a Drop all packets except those that meet the criteria below checkbox-ot, és ezután kattintsunk az OK-ra kétszer.
Ha a Routing and Remote Access szervernek több interfésze is kapcsolódik az internethez, vagy ha több IPSec csatorna van, akkor hozzunk létre Routing and Remote Access kivételi szűrőket minden IPSec csatornához (minden forrás és cél IP alhálózathoz) valamennyi internet interfészen.



Könyv
Ez a cikk megtalálható ebben a könyvben: Windows Software Offline 2003 évkönyv 769. oldal

Felhasználási feltételek
A Software Online szoftverfejlesztői magazin mindegyik cikke, minden megjelent képe, és egyéb publikált anyaga szerzői jog védelme alatt áll! Bármilyen formában történő másodlagos terjesztésük, közzétételük vagy felhasználásuk kizárólag a kiadó előzetes írásbeli engedélyével történhet!

Copyright © 1999-2012 Animare Software Kft. Minden jog fenntartva!
| Készült: Animare Stúdió | Adatvédelem | Kapcsolat |