Konfiguracja IPSec Nowe funkcje protokołu IPSec

Konfiguracja IPSec




Data publikacji: 2004-04-06 12:58 |
Odsłon: 24272 |
Dodał: zespół red.
Autor: Szymon Śmiech
Spis treści











Czym jest IPSec?
Nowe funkcje protokołu IPSec
Terminologia
Tworzenie zasad IPSec
Tworzenie powłoki nowej zasady
Dodawanie reguł filtrowania do zasady IPSec
Dodawanie listy filtrów do reguł filtrowania
Włączanie zasady IPSec
Modyfikacja zasady
Monitorowanie protokołu IPSec
Obszar zastosowania protokołu IPSec
IPSec (IP Security) to solidny mechanizm zabezpieczający, starający się usunąć wiele
mankamentów IP. IPSec identyfikuje konkretny ruch za pomocą modelu filtrowania;
zidentyfikowany ruch może zostać zablokowany, przepuszczony dalej lub zabezpieczony za pomocą
uwierzytelniania lub zaszyfrowania.
IPSec obsługuje uwierzytelnianie i szyfrowanie, jest często wykorzystywany w wirtualnych sieciach
prywatnych i bezprzewodowych sieciach lokalnych – w sytuacjach w których grozi podsłuch. IPSec
może służyć do zabezpieczania dowolnych połączeń sieciowych.
W odróżnieniu od filtrowania TCP/IP, w którym podaje się tylko dozwolone adresy IP pakietów,
IPSec negocjuje bezpieczne połączenie między dwoma komputerami. Działania zabezpieczające
mają miejsce w obu komputerach za pośrednictwem uzgodnionego łącza.
Protokół IPSec ma dwa cele:

Ochrona zawartości pakietów IP

Ochrona przed atakami sieciowymi polegająca na filtrowaniu pakietów i wymuszaniu
komunikacji zabezpieczonej
Nowe funkcje protokołu IPSec
Protokół IPSec oferuje kilka nowych funkcji w systemach z rodziny Windows Server 2003. Oto
niektóre z nich:

Monitor zabezpieczeń IP
W systemie Windows 2000 przystawkę Monitor zabezpieczeń IP zaimplementowano w postaci
programu wykonywalnego (IPSecmon.exe). W systemie Windows XP i systemach z rodziny
Windows Server 2003 rolę Monitora zabezpieczeń IP pełni konsola MMC.

Klucz główny o silniejszym algorytmie kryptograficznym (Diffie-Hellman)
Protokół IPSec podnosi poziom zabezpieczeń, obsługując teraz wymianę klucza Diffie-Hellman'a
o długości 2048 bitów. Dzięki silniejszej grupie Diffie-Hellman'a, klucz główny dostarczony
metodą wymiany Diffie-Hellman'a ma większą siłę. Silne grupy Diffie-Hellman'a w połączeniu z
dłuższymi kluczami znacznie utrudniają złamanie klucza tajnego.

Zarządzanie z wiersza poleceń za pomocą polecenia Netsh
Używając kontekstu polecenia Netsh protokołu IPSec, można konfigurować statyczne lub
dynamiczne ustawienia trybu głównego IPSec, ustawienia trybu szybkiego, reguły i parametry
konfiguracyjne. Aby wprowadzić kontekst polecenia Netsh protokołu IPSec, należy wpisać
polecenie netsh -c ipsec w wierszu polecenia. Kontekst polecenia Netsh protokołu IPSec
zastępuje narzędzie Ipsecpol.exe, które jest dostarczane w zestawie Windows 2000 Server
Resource Kit.

Zabezpieczenia podczas uruchamiania komputera
Protokół IPSec podnosi poziom zabezpieczeń, oferując filtrowanie akumulujące ruch sieciowy
podczas uruchamiania komputera. Dzięki filtrowaniu akumulującemu, podczas uruchamiania
komputera dozwolone są tylko następujące typy ruchu: ruch wychodzący zainicjowany przez
komputer podczas uruchamiania, ruch przychodzący wysłany w odpowiedzi na ruch
wychodzący oraz ruch DHCP. Alternatywą do filtrowania akumulacyjnego jest możliwość
zablokowania całego ruchu przychodzącego i wychodzącego aż do momentu zastosowania
zasad IPSec.

Usunięcie domyślnych wykluczeń ruchu
W systemach Windows 2000 i Windows XP cały ruch emisji, multiemisji, IKE (Internet Key
Exchange), Kerberos i RSVP (Resource Reservation Protocol) jest domyślnie wyłączony z
filtrowania IPSec. Aby znacząco zwiększyć bezpieczeństwo, w systemach z rodziny Windows
Server 2003 wykluczony z filtrowania IPSec jest tylko ruch IKE (wymagany do ustanawiania
połączeń korzystających z zabezpieczeń IPSec).
Terminologia
Kombinacja ustawień konfiguracyjnych wszystkich protokołów związanych z IPSec nosi nazwę
reguły lub reguły filtru. Z kolei zbiór składający się z jednej lub z kilku reguł nazywany jest zasadą
IPSec. W każdym momencie może być włączona tylko jedna zasada IPSec, która może obejmować
wiele reguł. W skład każdej reguły wchodzi pięć elementów:

Lista filtrów IP. Składa się z jednej lub kilku definicji filtrowania pakietów na podstawie
protokołu, adresu/portu/maski źródła oraz adresu/portu/maski miejsca docelowego. Listy
filtrów mają nazwy i mogą być używane w wielu regułach. Każda reguła może mieć
skonfigurowaną tylko jedną listę filtrów. Poniżej przedstawiono przykładowy filtr zamykający
port 139.

Akcja filtru. Określa, co robić z połączeniami pasującymi do kryteriów filtru: zezwalać na nie,
blokować czy negocjować.

Metody uwierzytelniania. Do wyboru jest kilka metod uwierzytelniania użytkownika: Kerberos,
certyfikaty lub kod/klucz.

Ustawienie tunelowania. Decydują, czy połączenie może używać wirtualnej sieci prywatnej.

Typ połączenia. Ustala, których połączeń ma dotyczyć dana reguła: wszystkich, lokalnych
(LAN), czy zdalnych.
Tworzenie zasad IPSec
Do zarządzania zasadami IPSec służy rozszerzenie Zarządzanie zasadami zabezpieczeń IP
rozszerzenia Ustawienia zabezpieczeń, które z kolei jest rozszerzeniem przystawki Zasady grupy
konsoli Microsoft Management Console (MMC). Innym sposobem odszukania tego rozszerzenia jest
otwarcie konsoli Ustawienie zabezpieczeń lokalnych: w Panelu sterowania otwórz folder Narzędzia
administracyjne i kliknąć ikonę Zasady zabezpieczeń lokalnych. Innym sposobem jest wpisanie
secpol.msc w wierszu polecenia.
Tworzenie powłoki nowej zasady

Z menu Akcja należy wybrać polecenie Utwórz zasadę zabezpieczeń IP, aby uruchomić kreator
zasad zabezpieczeń IP, i na pierwszej karcie należy kliknąć Dalej.

Następnie należy wpisać nazwę nowej zasady i ewentualnie opis, po czym kliknąć Dalej.

Reguła odpowiedzi domyślnej wymusza uwierzytelnianie Kerberos oraz niestandardowy
schemat zabezpieczeń i jest używana w przypadku, gdy nie ma zastosowania żadna inna
reguła. Jeśli chcemy dodać regułę tej zasady, należy pozostawić zaznaczone pole wyboru Włącz
regułę odpowiedzi domyślnej. W przeciwnym wypadku należy usunąć zaznaczenie z tego pola i
kliknąć Dalej.

Jeśli została wybrana reguła domyślna odpowiedzi, kreator poprosi o podanie metody
uwierzytelniania dla reguły. Należy ja wybrać i kliknąć Dalej.
Dodawanie reguł filtrowania do zasad
W tym momencie jest utworzona powłoka nowej zasady i należy przystąpić do ustalania reguł
filtrowania.

Należy upewnić się czy jest zaznaczone pole wybory Edytuj właściwości i kliknąć przycisk
Zakończ. Na ekranie pojawi się okno dialogowe z właściwościami nowej zasady. Jeśli wcześniej
została zaznaczona reguła odpowiedzi domyślnej, powinna być teraz zaznaczona na liście
reguły zabezpieczeń IP i można przystąpić do dodawania własnych reguł do zasady.

Należy się upewnić czy jest zaznaczone pole wyboru Użyj kreatora dodawania i należy kliknąć
przycisk Dodaj, aby uruchomić Kreator reguł zabezpieczeń. (Można też usunąć zaznaczenie z
pola wyboru Użyj kreatora dodawania). Następnie należy kliknąć Dalej.

Jeśli reguła ma pozwalać na połączenie VPN, należy zaznaczyć pole wyboru Koniec tunelu jest
określony przez ten adres IP i należy wprowadzić adres IP komputera, który będzie prosił o
połączenie. W przeciwnym wypadku należy pozostawić zaznaczoną opcje Ta reguła nie określa
żadnego tunelu. (W oknie dialogowym właściwości opcje te znajdują się na karcie Ustawienia
tunelowania). Następnie należy kliknąć przycisk Dalej.
Uwaga: należy utworzyć oddzielną regułę dla każdego komputera który będzie prosił o
połączenie VPN.

Następnie należy zaznaczyć typ połączeń sieciowych których ta ma dotyczyć ta zasada (karta
Typ połączenia). Opcja dostęp zdalny odnosi się do połączeń dialup. Następnie należy kliknąć
przycisk Dalej.

W kolejnym kroku należy wybrać metodę uwierzytelniania dla reguły (karta Metody
uwierzytelniania) i następnie kliknąć przycisk Dalej.
Dodawanie listy filtrów do reguł filtrowania
Teraz należy wybrać lub zdefiniować listę filtrów używanych przez regułę. Jeśli używany był Kreator
reguł zabezpieczeń, na ekranie powinna być widoczna lista predefiniowanych filtrów, taka jak na
rysunku poniżej. Porównywalne ustawienia są na karcie Lista filtrów IP okna dialogowego
właściwości.

Jeśli lista filtrów, która ma być użyta, jest już zdefiniowana, należy ja zaznaczyć i przejść do
podrozdziału Zakończenie konfigurowania reguły. W przeciwnym razie należy kliknąć Dodaj,
aby zdefiniować nowa listę reguł.

W oknie dialogowym Lista filtrów IP, stanowiącym powłokę nowych list filtrów, należy
wprowadzić nazwę i opis nowej listy.

Mając zaznaczone pole wyboru Użyj kreator dodawania należy kliknąć przycisk Dalej, aby
dodać nowy filtr do listy. (Można usunąć zaznaczenie z pola wyboru Użyj kreatora dodawania).
Uwaga: Listy filtrów są zapisywane pod swoimi nazwami i mogą być używane w wielu
regułach.

Na pierwszej karcie kreatora filtrów IP należy kliknąć przycisk Dalej.

Następnie należy wybrać z listy rozwijalnej adres źródłowy pakietów. (W oknie dialogowym
Właściwości filtru lista ta znajduje się na karcie adresowanie). Jeśli jest tworzony filtr dla
połączenia VPN, należy zaznaczyć pozycje Określony adres IP dla źródła i Mój adres IP dla
komputera docelowego. Jako adres IP źródła podaj adres IP komputera proszącego o
połączenie VPN. Następnie należy kliknąć Dalej.

Wybrać z listy adres docelowy pakietów. (W oknie dialogowym Właściwości filtru lista ta
znajduje się na karcie adresowanie). Możliwości wyboru są takie same jak w przypadku źródła.
Kliknąć przycisk Dalej.

Następnie należy wybrać protokół. (w Oknie dialogowym Właściwości filtru lista ta znajduje się
na karcie Protokół). Najczęściej jest to Dowolny, TCP, UDP i ICMP. Kliknąć przycisk Dalej. W
zależności od dokonanego wyboru może być jeszcze konieczne wybranie numeru portu do
filtrowania.

Następnie należy kliknąć przycisk zakończ, aby wrócić do okna dialogowego Lista filtrów IP.
Jeśli jest potrzeba dodania kolejnego filtru, należy kliknąć Dodaj i powtórzyć całą procedurę.

Po zakończeniu dodawania filtrów do ich listy należy kliknąć przycisk OK, aby wrócić do
kreatora reguł zabezpieczeń. Zaznacz listę filtrów, którą właśnie utworzyłeś i kliknij przycisk
Dalej.
Zakończenie konfigurowania reguły

Zaznacz na liście akcje wykonywaną na pakietach pasujących do filtru (w oknie dialogowym
Właściwości nowej reguły lista ta znajduje się na karcie Akcje filtrowania). Wybierz jedną z
domyślnych akcji lub kliknij przycisk Dodaj, aby uruchomić kreator akcji filtrowania i utworzyć
nowa akcje. (Aby wyświetlić, okno dialogowe właściwości jednej z domyślnych akcji, zaznacz ja
na liście i kliknij przycisk Edytuj). Pojawi się wówczas okno dialogowe podobne do pokazanego
poniżej). Następnie kliknij Dalej, a potem Zakończ.

Kliknij przycisk OK. W ten sposób nowa reguła jest już zdefiniowana, aby dodać kolejna, kliknij
przycisk Dalej i powtórz całą procedurę. Każda dodana reguła pojawia się na liście Reguły
zabezpieczeń IP okna dialogowego z właściwościami zasady. Po dodaniu wszystkich reguł
kliknij przycisk Zamknij.
Włączanie zasady IPSec
W oknie dialogowym Ustawienie zabezpieczeń lokalnych kliknij prawym przyciskiem myszy zasadę,
która chcesz włączyć i wybierz z menu podręcznego polecenie przypisz. W ten sposób zasada ta
zostanie włączona. Jeśli wcześniej przypisałeś inna zasadę zostanie ona anulowana.
Modyfikacja zasad IPSec
Jak już powiedzieliśmy wcześniej, zasady IPSec składają się z listy filtrów, akcji filtrowania, metod
uwierzytelniania, ustawień tunelowania i typów połączeń. Listy filtrów i akcje filtrowania są
składnikami mającymi swoje nazwy i ustawienia konfiguracyjne. W rezultacie listy filtrów i akcje
filtrowania można edytować niezależnie lub w ramach zwierających je zasad.
Zaznacz folder Zasady zabezpieczeń IP komputera lokalnego w okienku drzewa konsoli Ustawienia
zabezpieczeń lokalnych, rozwiń menu akcja i wybierz polecenie Zarządzaj listami filtrów i akcjami
filtrowania, aby wyświetlić okno dialogowe pokazane na rysunku poniżej. Zaznacz listę filtrów lub
akcje filtrowania, którą chcesz zmienić i kliknij przycisk Edytuj. Na ekranie pojawi się odpowiednie
okno dialogowe z właściwościami, umożliwiające dokonanie zmian w konfiguracji. Zmiany te
zostaną uwzględnione w każdej zasadzie używającej danej listy filtrów lub akcji filtrowania.
Aby zmodyfikować zasadę IPSec, zaznacz ją w konsoli Ustawienie zabezpieczeń lokalnych, a
następnie wybierz z menu Akcja polecenie Właściwości. Na ekranie pojawi się wówczas okno
dialogowe z właściwościami zasady, podobne do pokazanego na rysunku poniżej. Zaznacz regułę,
która chcesz zmienić, a następnie kliknij przycisk Edytuj, aby wyświetlić okno dialogowe
Właściwości: edytuj regułę. Jest to, to samo okno dialogowe, które służy do tworzenia nowych
reguł bez pomocy kreatora. Poszczególne karty w tym oknie zwierają ustawienia jednego z pięciu
składników IPSec.
Monitorowanie protokołu IPSec
Narzędzie Monitor zabezpieczeń IP wyświetla informacje o każdym aktywnym skojarzeniu
zabezpieczeń. Monitor zabezpieczeń IP podaje również dane statystyczne o skojarzeniach
zabezpieczeń, użyciu kluczy, wysłanych oraz odebranych bajtach itd.
W Windows Server 2003 Monitor zabezpieczeń IP jest zaimplementowany jako przystawka MMC,
widoczna na rysunku poniżej.
W Windows 2000 Monitor zabezpieczeń IP jest programem autonomicznym. Aby go uruchomić, w
wierszu poleceń należy wpisać ipsecmon.
Obszar zastosowań IPSec
Zalecane scenariusze zabezpieczeń IPSec

Filtrowanie pakietów
Protokołu IPSec można także używać łącznie z zaporą połączenia internetowego i usługą
Routing i dostęp zdalny, aby dopuszczać lub blokować ruch przychodzący lub wychodzący.

Zabezpieczanie ruchu między danymi hostami na określonych ścieżkach
Protokół IPSec może służyć do wzajemnego uwierzytelniania i ochrony kryptograficznej ruchu
między serwerami lub innymi statycznymi adresami IP czy podsieciami.

Zabezpieczanie ruchu do serwerów
Protokołu IPSec można użyć, aby wymóc wzajemne uwierzytelnianie na wszystkich
komputerach klienckich uzyskujących dostęp do serwera.

Użycie tunelowania w protokole L2TP/IPSec dla połączeń wirtualnych sieci prywatnych.

Użycie protokołu IPSec w trybie tunelowania w tunelach brama-brama. W celu współpracy z
innymi routerami, bramami oraz systemami końcowymi, które nie obsługują tunelowania w
protokole L2TP/IPSec ani PPTP, można użyć protokołu IPSec w trybie tunelowania dla tuneli
brama-brama.
Scenariusze w których nie zaleca się stosowania zabezpieczeń
IPSec
W dużych sieciach, kiedy zasady wymagają adresów dynamicznych na obu systemach końcowych
oraz w przypadku komputerów przenośnych złożoność zarządzania zasadami może utrudniać
wdrożenie protokołu IPSec. Z tego względu nie zaleca się stosowania protokołu IPSec w poniższych
sytuacjach:

Zabezpieczanie komunikacji między członkami domeny a ich kontrolerami domeny
Ze względu na złożoność konfiguracji zasad protokołu IPSec i zarządzania wymaganego w tym
scenariuszu nie zaleca się użycia protokołu IPSec do zabezpieczenia komunikacji między
członkami domeny a ich kontrolerami domeny.

Zabezpieczanie całego ruchu w sieci
Trudno jest skonfigurować komunikację w protokole IPSec między wszystkimi komputerami
klienckimi i wszystkimi serwerami w celu zabezpieczenia wielu lub wszystkich komputerów w
sieci. Protokół IPSec nie pozwala negocjować zabezpieczeń dla ruchu związanego z
multiemisjami i emisjami. Ruch komunikacji w czasie rzeczywistym, aplikacje wymagające
protokołu ICMP oraz aplikacje typu peer-to-peer mogą być niezgodne z protokołem IPSec.

Zabezpieczanie ruchu w sieciach bezprzewodowych 802.11.
Zasady protokołu IPSec nie są zoptymalizowane pod kątem konfiguracji klientów przenośnych.
Z tego względu protokół IPSec nie jest zalecany jako jedyna metoda zabezpieczania ruchu w
sieciach bezprzewodowych 802.11. Zamiast tego protokołu zaleca się użycie uwierzytelniania
typu IEEE 802.1X. Standard 802.1X podwyższa poziom zabezpieczeń i ułatwia ich wdrażanie,
zapewniając obsługę scentralizowanej identyfikacji użytkowników, uwierzytelniania,
dynamicznego zarządzania kluczami i księgowania. Gdy klienci zmieniają dynamicznie punkty
dostępu w tej samej sieci, protokół IPSec może zostać użyty wraz z protokołami 802.11 i
802.1x. W wypadkach, gdzie mobilność powoduje zmianę adresu IP klienta, skojarzenia
zabezpieczeń protokołu IPSec stają się nieprawidłowe i są renegocjowane nowe skojarzenia
zabezpieczeń.

Użycie protokołu IPSec w trybie tunelowania dla połączeń sieci VPN dostępu zdalnego.
Tryb tunelowania IPSec jest niezalecany w scenariuszach dostępu zdalnego z użyciem VPN. Dla
połączeń z dostępem zdalnym VPN należy używać kombinacji protokołów L2TP/IPSec lub
protokołu PPTP.
Artykuł opracowano na podstawie materiałów zawartych na stronie Microsoft.