Sdílet prostřednictvím

Konfigurace protokolu IPsec

Platforma WFP (Windows Filtering Platform) je základní platformou pro bránu Windows Firewall s pokročilým zabezpečením. WFP slouží ke konfiguraci pravidel filtrování sítě, která zahrnují pravidla, která řídí zabezpečení síťového provozu pomocí protokolu IPsec. Vývojáři aplikací mohou nakonfigurovat protokol IPsec přímo pomocí rozhraní WFP API, aby mohli využívat podrobnější model filtrování síťového provozu než model vystavený prostřednictvím modulu snap-in Konzoly MMC (Microsoft Management Console) pro bránu Windows Firewall s pokročilým zabezpečením.

Co je IPsec

Protokol IPsec (Internet Protocol Security) je sada protokolů zabezpečení sloužících k důvěrnému přenosu paketů IP přes internet. Protokol IPsec byl dříve povinný pro všechny implementace IPv6 (viz požadavky na uzly IPv6; a volitelné pro protokol IPv4.

Zabezpečený provoz IP má dvě volitelné hlavičky protokolu IPsec, které identifikují typy kryptografické ochrany použité u paketu PROTOKOLU IP a obsahují informace pro dekódování chráněného paketu.

Hlavička ESP (Encapsulating Security Payload) slouží k ochraně osobních údajů a ochrany před škodlivými úpravami provedením ověřování a volitelného šifrování. Dá se použít pro provoz, který prochází směrovači překladu adres (NAT).

Hlavička ověřování (AH) se používá pouze k ochraně před škodlivými úpravami provedením ověřování. Nedá se použít pro provoz, který prochází směrovači NAT.

Další informace o protokolu IPsec najdete také v těchto tématech:

technické referenční protokolu IPsec

Co je IKE

Protokol IKE (Internet Key Exchange) je protokol výměny klíčů, který je součástí sady protokolů IPsec. Protokol IKE se používá při nastavování zabezpečeného připojení a provádí bezpečnou výměnu tajných klíčů a dalších parametrů souvisejících s ochranou bez zásahu uživatele.

Další informace o protokolu IKE najdete také:

Exchange s internetovými klíči

Co je AuthIP

Ověřený protokol AuthIP (Internet Protocol) je protokol výměny klíčů, který rozšiřuje protokol IKEv1 následujícím způsobem.

I když protokol IKEv1 podporuje pouze přihlašovací údaje pro ověřování počítače, protokol AuthIP také podporuje:
  • Přihlašovací údaje uživatele: NTLM, Kerberos, certifikáty.
  • Certifikáty stavu architektury NAP (Network Access Protection).
  • Anonymní přihlašovací údaje, které se používají k volitelnému ověřování.
  • Kombinace přihlašovacích údajů; Například kombinace přihlašovacích údajů kerberos počítače a uživatele.

AuthIP má mechanismus opakování ověřování, který před selháním připojení ověřuje všechny nakonfigurované metody ověřování.
Protokol AuthIP lze použít se zabezpečenými sokety k implementaci provozu zabezpečeného protokolem IPsec založeným na aplikacích. Poskytuje:

  • Ověřování a šifrování pro jednotlivé sokety Další informace najdete v tématu WSASetSocketSecurity.
  • Zosobnění klienta (IPsec zosobňuje kontext zabezpečení, pod kterým je soket vytvořen.)
  • Ověření názvu příchozího a odchozího partnerského uzlu Další informace najdete v tématu WSASetSocketPeerTargetName.

Poznámka

Microsoft doporučuje používat protokol IKEv2, kdykoli je to možné.

Co je zásada protokolu IPsec

Zásada IPsec je sada pravidel, která určují, jaký typ provozu PROTOKOLU IP je potřeba zabezpečit pomocí protokolu IPsec a jak zabezpečit tento provoz. Na počítači je najednou aktivní jenom jedna zásada IPsec.

Další informace o implementaci zásad protokolu IPsec získáte tak, že otevřete modul snap-in Konzoly MMC místní zásady zabezpečení (secpol.msc), stisknutím klávesy F1 zobrazíte nápovědu a pak v obsahu vyberete Možnost Vytváření a používání zásad IPsec.

Další informace ozásadách

přehled konceptů zásad protokolu IPsec
Popis zásad protokolu IPsec

Jak používat WFP ke konfiguraci zásad protokolu IPsec

Implementace protokolu IPsec od Microsoftu používá k nastavení zásad IPsec platformu filtrování systému Windows. Zásady IPsec se implementují přidáním filtrů v různých vrstvách WFP následujícím způsobem.

  • V FWPM_LAYER_IKEEXT_V{4|6} vrstvy přidávají filtry, které určují zásady vyjednávání používané moduly pro klíče (IKE/AuthIP) během výměn hlavního režimu (MM). V těchto vrstvách se zadají metody ověřování a kryptografické algoritmy.

  • V FWPM_LAYER_IPSEC_V{4|6} vrstvy přidávají filtry, které určují zásady vyjednávání používané moduly pro klíče během výměn rychlých režimů (QM) a rozšířeného režimu (EM). V těchto vrstvách jsou specifikovány hlavičky IPsec (AH/ESP) a kryptografické algoritmy.

    Zásady vyjednávání se zadává jako kontext zprostředkovatele zásad přidružený k filtru. Modul klíčů vytvoří výčet kontextů zprostředkovatele zásad na základě charakteristik provozu a získá zásadu, která se použije pro vyjednávání o zabezpečení.

    Poznámka

    Rozhraní WFP API lze použít k přímému určení přidružení zabezpečení (SA), a proto ignorovat zásady vyjednávání modulu klíčů.

     

  • V FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} a FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} vrstvy přidávají filtry, které vyvolávají popisky, a určují, který tok provozu by měl být zabezpečený.

  • V FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} vrstvy přidávají filtry, které implementují filtrování identit a zásady pro jednotlivé aplikace.

Následující diagram znázorňuje interakci různých komponent WFP s ohledem na operaci IPsec.konfigurace protokolu iPsec s využitím platformy filtrování windows

Jakmile je protokol IPsec nakonfigurovaný, integruje se se službou WFP a rozšiřuje možnosti filtrování WFP tím, že poskytuje informace, které se mají použít jako podmínky filtrování ve vrstvách autorizace Application Layer Enforcement (ALE). Protokol IPsec například poskytuje identitu vzdáleného uživatele a vzdáleného počítače, kterou WFP zveřejňuje na vrstvách autorizace a připojení ALE. Tyto informace lze použít k jemně odstupňované vzdálené autorizaci identit implementací brány firewall založené na WFP.

Níže najdete ukázkovou zásadu izolace, která se dá implementovat pomocí protokolu IPsec:

  • FWPM_LAYER_IKEEXT_V{4|6} vrstev – ověřování protokolem Kerberos.
  • FWPM_LAYER_IPSEC_V{4|6} vrstev – AH/SHA-1.
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} a FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} vrstvy – zjišťování vyjednávání pro veškerý síťový provoz.
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} vrstvy – protokol IPsec se vyžaduje pro veškerý síťový provoz.

vrstvy WFP

filtrování identifikátorů vrstvy

vrstvy ALE

scénáře zásad protokolu IPsec implementované pomocí rozhraní WFP API:

dopravního režimu

režim přenosu zjišťování vyjednávání

režim přenosu zjišťování vyjednávání v hraničního režimu

režimu tunelu

garantované šifrování

vzdálené autorizace identit

ručních SA protokolu IPsec

výjimky IKE/AuthIP

řešení IPsec:

Server a izolace domény

 

 

  • Last updated on