Come configurare la protezione IP

January 22

Come configurare la protezione IP


IP Security protegge il traffico di rete ad un livello fondamentale, e quindi molte applicazioni business-critical richiedono questo approccio configurazione avanzata. Configurazione di IP Security (IPsec) sfida gli amministratori di rete, tuttavia, perché richiede una grande quantità di controllo su entrambi i client e server lati della configurazione di rete. Configurazione IPsec utilizzando oggetti Criteri di gruppo di Windows (GPO) con la creazione di politiche diverse per il client e il server.

istruzione

1 Configurare il firewall di Windows bypass per consentire il traffico dei client di bypassare il firewall basato su host. Nella Directory Editor criteri di gruppo di Active, fare clic destro su l'unità organizzativa (OU) contenente l'oggetto computer del server di destinazione e selezionare "Crea un GPO in questo settore e collegare qui." Dare l'oggetto Criteri di gruppo (GPO) un nome significativo e fare clic su "OK". Pulsante destro del mouse sul GPO e selezionare "Modifica". Espandere la struttura modello di criteri nel seguente ordine: "Configurazione computer", "Modelli amministrativi", "Network", "Connessioni di rete" e "Windows Firewall". Nel riquadro a destra fare doppio clic sul criterio "Windows Firewall: consenti autenticazione IPSec" e cliccare su "Enabled".

Una politica firewall bypass per i nomi IPsec un gruppo specifico che verrà concesso il permesso di utilizzare IPsec per attraversare il firewall basato su host. Nel campo "Definire peer IPSec per essere esentati dal criterio firewall:" entrare nel Definition Language Security Descriptor (SDDL) stringa per il gruppo consentita. Il formato della stringa SDDL per un singolo gruppo è: "O: DAG: DAD: (A ;; RCGW ;;; SID)," dove SID è il Security Identifier (SID) di un account di gruppo. Pertanto, per definire l'impostazione per il vostro gruppo, il testo della politica recita qualcosa come "Definire peer IPSec per essere esenti da criteri firewall: O: DAG: DAD: (A ;; RCGW ;;; S-1-5-21 -4214763869-96332444560-8429442246-100290). " Utilizzare l'utilità della riga di comando GETSID contro il nome del gruppo di protezione per determinare il SID se non si conosce già.

2 Assegnare un server-side "richiedere la crittografia" regola in Criteri di gruppo. Al fine di richiedere la crittografia tramite IPsec, è necessario aggiungere una regola di sicurezza Impostazioni di Windows della politica di gruppo> Impostazioni di sicurezza> Sicurezza IP sezione Criteri. Nel criteri di gruppo, fare clic destro sul OU che contiene l'oggetto computer del server di destinazione e selezionare "Crea un GPO in questo settore e collegare qui." Dare l'oggetto Criteri di gruppo (GPO) un nome significativo e fare clic su "OK".

Espandere la struttura modello di criteri nel seguente ordine:. "Configurazione computer", "Impostazioni di Windows" e "Criteri di protezione IP su Active Directory" Fai clic destro sul "Server protetto (Richiedi protezione)" La politica nel pannello di destra e selezionare "Assegna". Quando viene assegnato, questo criterio richiede che tutto il traffico di tentare di raggiungere il server utilizzerà IPsec.

3 Configurare un client-side "richiedere la crittografia" regola. Al fine per i clienti di utilizzare la crittografia per raggiungere il server, è necessario configurare un criterio per quei clienti che consente la crittografia solo per il server di destinazione. Nel criteri di gruppo, fare clic destro sul organizzativa contenente l'oggetto gruppo che include tutti i client che dovranno permesso di utilizzare IPsec per raggiungere il server di destinazione. Selezionare "Creare un GPO in questo dominio e crea qui un collegamento." Dare il GPO un nome significativo e fare clic su "OK".

Espandere la struttura modello di criteri nel seguente ordine:. "Configurazione computer", "Impostazioni di Windows" e "Criteri di protezione IP su Active Directory" Fare doppio click sul "Client (solo risposta)" La politica nel riquadro a destra. Clicca su "Aggiungi ..." per avviare la procedura guidata regola di sicurezza. Accettare i valori predefiniti per "Tunnel Endpoint" e "Tipo di rete", ma sulla "Elenco filtri IP" pagina cliccare su "Aggiungi ..." Sul "Elenco filtri IP" nome della pagina l'elenco di filtri e fare clic su "Aggiungi .. . "per aggiungere il server. Seguire la procedura guidata, che specifica "Qualsiasi indirizzo IP" per l'indirizzo di origine e "nome di uno specifico DNS" per il server di destinazione. Immettere il nome del server di destinazione nel campo "Nome Host:" il campo. Completare la procedura guidata con i valori di default rimanenti e fare clic su "OK" per chiudere la procedura guidata "Elenco IP Filer". Nella "Creazione guidata regola di sicurezza" Seleziona "Permit" come l'azione del filtro e fare clic su "Avanti" per completare la procedura guidata.

Quando viene assegnato, questo criterio richiede che tutto il traffico dalle macchine client di tentare di raggiungere il server utilizzerà IPsec, ma il traffico di andare a qualsiasi altro server non sarà.

4 Applicare gli aggiornamenti dei criteri di gruppo sia per i client e il server. Su ogni macchina aprire un prompt dei comandi e digitare "gpupdate." Se viene richiesto di disconnettersi, farlo.

Consigli e avvertenze

  • Nome attentamente ogni oggetto Criteri di gruppo al fine di rendere la risoluzione dei problemi IPsec più facile. Utilizzare la riga di comando di utilità "gpreport" per vedere ciò che le politiche di gruppo sono abilitati e cercare i GPO nell'elenco delle politiche applicate.
  • Controllare le regole del firewall sul server per fare in modo che tutte le regole di filtro non necessari per l'amministrazione remota sono disabilitati. La politica di bypass firewall permetterà ai clienti attraverso perché la loro traffico è crittografato utilizzando IPsec, ma questa configurazione perde la sua efficacia se i permessi del firewall tutto il traffico attraverso perché è configurato correttamente.
  • Per configurare IPsec su un server Windows 2003 o versioni precedenti, rivedere l'articolo Petri IT knowledge base.
  • Al fine di IPsec per lavorare Porta UDP 500 e IP Port 50 devono essere autorizzati a livello di rete tramite esenzioni firewall. Inoltre, NAT-Traversal deve essere configurato sul firewall.