Bagikan melalui

Konfigurasi IPsec

  • Artikel

Windows Filtering Platform (WFP) adalah platform yang mendasar untuk Windows Firewall dengan Advanced Security. WFP digunakan untuk mengonfigurasi aturan pemfilteran jaringan, yang mencakup aturan yang mengatur pengamanan lalu lintas jaringan dengan IPsec. Pengembang aplikasi dapat mengonfigurasi IPsec secara langsung menggunakan WFP API, untuk memanfaatkan model pemfilteran lalu lintas jaringan yang lebih terperinci daripada model yang diekspos melalui snap-in Microsoft Management Console (MMC) untuk Windows Firewall dengan Advanced Security.

Apa itu IPsec

Internet Protocol Security (IPsec) adalah sekumpulan protokol keamanan yang digunakan untuk mentransfer paket IP secara rahasia di internet. IPsec sebelumnya wajib untuk semua implementasi IPv6 (tetapi lihat Persyaratan Simpul IPv6; dan opsional untuk IPv4.

Lalu lintas IP aman memiliki dua header IPsec opsional, yang mengidentifikasi jenis perlindungan kriptografi yang diterapkan ke paket IP dan menyertakan informasi untuk mendekode paket yang dilindungi.

Header Encapsulating Security Payload (ESP) digunakan untuk privasi dan perlindungan terhadap modifikasi berbahaya dengan melakukan autentikasi dan enkripsi opsional. Ini dapat digunakan untuk lalu lintas yang melintasi router Network Address Translation (NAT).

Header Autentikasi (AH) hanya digunakan untuk perlindungan terhadap modifikasi berbahaya dengan melakukan autentikasi. Ini tidak dapat digunakan untuk lalu lintas yang melintasi router NAT.

Untuk informasi selengkapnya tentang IPsec, lihat juga:

Referensi Teknis IPsec

Apa itu IKE

Internet Key Exchange (IKE) adalah protokol pertukaran kunci yang merupakan bagian dari set protokol IPsec. IKE digunakan saat menyiapkan koneksi yang aman dan menyelesaikan pertukaran kunci rahasia yang aman dan parameter terkait perlindungan lainnya tanpa intervensi pengguna.

Untuk informasi selengkapnya tentang IKE, lihat juga:

Pertukaran Kunci Internet

Apa itu AuthIP

Authenticated Internet Protocol (AuthIP) adalah protokol pertukaran kunci baru yang memperluas IKE sebagai berikut.

Meskipun IKE hanya mendukung kredensial autentikasi komputer, AuthIP juga mendukung:
  • Kredensial pengguna: NTLM, Kerberos, sertifikat.
  • Sertifikat kesehatan Network Access Protection (NAP).
  • Kredensial anonim, digunakan untuk autentikasi opsional.
  • Kombinasi kredensial; misalnya, kombinasi kredensial Kerberos mesin dan pengguna.

AuthIP memiliki mekanisme coba lagi autentikasi yang memverifikasi semua metode autentikasi yang dikonfigurasi sebelum gagal koneksi.
AuthIP dapat digunakan dengan soket aman untuk menerapkan lalu lintas aman IPsec berbasis aplikasi. Menyediakan:

  • Autentikasi dan enkripsi per soket. Lihat WSASetSocketSecurity untuk informasi selengkapnya.
  • Peniruan identitas klien. (IPsec meniru konteks keamanan tempat soket dibuat.)
  • Validasi nama serekan masuk dan keluar. Lihat WSASetSocketPeerTargetName untuk informasi selengkapnya.

Apa itu Kebijakan IPsec

Kebijakan IPsec adalah sekumpulan aturan yang menentukan jenis lalu lintas IP mana yang perlu diamankan menggunakan IPsec dan cara mengamankan lalu lintas tersebut. Hanya satu kebijakan IPsec yang aktif di komputer pada satu waktu.

Untuk mempelajari selengkapnya tentang menerapkan kebijakan IPsec, buka snap-in MMC Kebijakan Keamanan Lokal (secpol.msc), tekan F1 untuk menampilkan Bantuan, lalu pilih Membuat dan Menggunakan Kebijakan IPsec dari daftar isi.

Untuk informasi selengkapnya tentang kebijakan IPsec, lihat juga:

Gambaran Umum Konsep Kebijakan IPsec
Deskripsi Kebijakan IPsec

Cara Menggunakan WFP untuk Mengonfigurasi Kebijakan IPsec

Implementasi IPsec Microsoft menggunakan Platform Pemfilteran Windows untuk menyiapkan kebijakan IPsec. Kebijakan IPsec diterapkan dengan menambahkan filter di berbagai lapisan WFP sebagai berikut.

  • Pada lapisan FWPM_LAYER_IKEEXT_V{4|6} tambahkan filter yang menentukan kebijakan negosiasi yang digunakan oleh modul keying (IKE/AuthIP) selama pertukaran Mode Utama (MM). Metode autentikasi dan algoritma kriptografi ditentukan pada lapisan ini.

  • Pada lapisan FWPM_LAYER_IPSEC_V{4|6} tambahkan filter yang menentukan kebijakan negosiasi yang digunakan oleh modul kunci selama pertukaran Mode Cepat (QM) dan Mode Diperpanjang (EM). Header IPsec (AH/ESP) dan algoritma kriptografi ditentukan pada lapisan ini.

    Kebijakan negosiasi ditentukan sebagai konteks penyedia kebijakan yang terkait dengan filter. Modul keying menghitung konteks penyedia kebijakan berdasarkan karakteristik lalu lintas dan mendapatkan kebijakan yang akan digunakan untuk negosiasi keamanan.

    Catatan

    API WFP dapat digunakan untuk menentukan Asosiasi Keamanan (SAs) secara langsung dan oleh karena itu untuk mengabaikan kebijakan negosiasi modul kunci.

     

  • Pada lapisan FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} dan FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} tambahkan filter yang memanggil callout dan menentukan arus lalu lintas mana yang harus diamankan.

  • Pada lapisan FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} tambahkan filter yang menerapkan pemfilteran identitas dan kebijakan per aplikasi.

Diagram berikut mengilustrasikan interaksi berbagai komponen WFP, sehubungan dengan operasi IPsec.ipsec configuration using windows filtering platform

Setelah IPsec dikonfigurasi, IPsec terintegrasi dengan WFP dan memperluas kemampuan pemfilteran WFP dengan memberikan informasi yang akan digunakan sebagai kondisi pemfilteran pada lapisan otorisasi Application Layer Enforcement (ALE). Misalnya, IPsec menyediakan identitas pengguna jarak jauh dan komputer jarak jauh, yang diekspos WFP di ALE menyambungkan dan menerima lapisan otorisasi. Informasi ini dapat digunakan untuk otorisasi identitas jarak jauh yang halus oleh implementasi firewall berbasis WFP.

Di bawah ini adalah sampel kebijakan isolasi yang dapat diterapkan menggunakan IPsec:

  • FWPM_LAYER_IKEEXT_V{4|6} lapisan – Autentikasi Kerberos.
  • FWPM_LAYER_IPSEC_V{4|6} lapisan – AH/SHA-1.
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} dan FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} lapisan - penemuan negosiasi untuk semua lalu lintas jaringan.
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} lapisan - IPsec diperlukan untuk semua lalu lintas jaringan.

Lapisan WFP

Pemfilteran Pengidentifikasi Lapisan

Lapisan ALE

Skenario Kebijakan IPsec Diterapkan menggunakan WFP API:

Mode Transportasi

Mode Transportasi Penemuan Negosiasi

Mode Transportasi Penemuan Negosiasi dalam Mode Batas

Mode Terowongan

Enkripsi Terjamin

Otorisasi Identitas Jarak Jauh

Manual IPsec SAs

Pengecualian IKE/AuthIP

Solusi IPsec:

Isolasi Server dan Domain