Конфигурация IPsec
Платформа фильтрации Windows (МПП) — это базовая платформа брандмауэра Windows с расширенной безопасностью. МПП используется для настройки правил фильтрации сети, включая правила, которые управляют обеспечением безопасности сетевого трафика с помощью IPsec. Разработчики приложений могут настроить IPsec непосредственно с помощью API МПП, чтобы воспользоваться более детализированной моделью фильтрации сетевого трафика, чем модель, предоставленная с помощью оснастки консоли управления Майкрософт (MMC) для брандмауэра Windows с расширенной безопасностью.
Что такое IPsec
Безопасность протокола Интернета (IPsec) — это набор протоколов безопасности, используемых для конфиденциальной передачи IP-пакетов через Интернет. IPsec ранее был обязательным для всех реализаций IPv6 (но см . требования к узлам IPv6 и необязательно для IPv4.
Защищенный IP-трафик содержит два необязательных заголовка IPsec, которые определяют типы криптографической защиты, примененные к IP-пакету, и содержат сведения для декодирования защищенного пакета.
Заголовок инкапсулирующей полезных данных безопасности (ESP) используется для конфиденциальности и защиты от вредоносных изменений путем выполнения проверки подлинности и необязательного шифрования. Его можно использовать для трафика, который проходит по маршрутизаторам преобразования сетевых адресов (NAT).
Заголовок проверки подлинности (AH) используется только для защиты от вредоносных изменений путем выполнения проверки подлинности. Его нельзя использовать для трафика, который проходит по маршрутизаторам NAT.
Дополнительные сведения об IPsec см. также:
Что такое IKE
Internet Key Exchange (IKE) — это протокол обмена ключами, который входит в набор протоколов IPsec. IKE используется при настройке безопасного подключения и обеспечивает безопасный обмен секретными ключами и другими параметрами, связанными с защитой, без вмешательства пользователя.
Дополнительные сведения об IKE см. также:
Что такое AuthIP
Протокол Проверки подлинности (AuthIP) — это новый протокол обмена ключами, который расширяет IKE следующим образом.
- Хотя IKE поддерживает только учетные данные проверки подлинности компьютера, AuthIP также поддерживает:
- Учетные данные пользователя: NTLM, Kerberos, сертификаты.
- Сертификаты работоспособности защиты доступа к сети (NAP).
- Анонимные учетные данные, используемые для необязательной проверки подлинности.
- Сочетание учетных данных; Например, сочетание учетных данных компьютера и пользователя Kerberos.
- Проверка подлинности и шифрование для каждого сокета. Дополнительные сведения см. в статье WSASetSocketSecurity.
- Олицетворение клиента. (IPsec олицетворяет контекст безопасности, в котором создается сокет.)
- Проверка входящего и исходящего однорангового имени. Дополнительные сведения см. в разделе WSASetSocketPeerTargetName.
AuthIP имеет механизм повтора проверки подлинности, который проверяет все настроенные методы проверки подлинности до сбоя подключения.
AuthIP можно использовать с безопасными сокетами для реализации защищенного трафика на основе приложений IPsec. Предоставляет:
Что такое политика IPsec
Политика IPsec — это набор правил, определяющих, какой тип IP-трафика необходимо защитить с помощью IPsec и как защитить этот трафик. Только одна политика IPsec активна на компьютере одновременно.
Чтобы узнать больше о реализации политик IPsec, откройте оснастку MMC локальной политики безопасности (secpol.msc), нажмите клавишу F1, чтобы отобразить справку, а затем выберите "Создание и использование политик IPsec" в оглавлении.
Дополнительные сведения о политиках IPsec см. также:
Как использовать МПП для настройки политик IPsec
Реализация IPsec майкрософт использует платформу фильтрации Windows для настройки политик IPsec. Политики IPsec реализуются путем добавления фильтров на различных уровнях МПП, как показано ниже.
На уровнях FWPM_LAYER_IKEEXT_V{4|6} добавьте фильтры, определяющие политики согласования, используемые модулями ключей (IKE/AuthIP) во время обмена основным режимом (ММ). Методы проверки подлинности и криптографические алгоритмы задаются на этих уровнях.
На уровнях FWPM_LAYER_IPSEC_V{4|6} добавьте фильтры, определяющие политики согласования, используемые модулями ключей во время обмена быстрым режимом (QM) и расширенным режимом (EM). На этих уровнях задаются заголовки IPsec (AH/ESP) и криптографические алгоритмы.
Политика согласования указывается в качестве контекста поставщика политик, связанного с фильтром. Модуль ключей перечисляет контексты поставщика политик на основе характеристик трафика и получает политику, используемую для согласования безопасности.
Примечание.
API МПП можно использовать для указания ассоциаций безопасности напрямую и, следовательно, для пропуска политики переговоров по модулю ключей.
На уровнях FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} и FWPM_LAYER_OUТБOUND_TRANSPORT_V{4|6} добавьте фильтры, которые вызывают выноски и определяют, какой поток трафика следует защитить.
На уровнях FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} добавьте фильтры, реализующие фильтрацию удостоверений и политику каждого приложения.
На следующей схеме показано взаимодействие различных компонентов МПП в отношении операции IPsec.
После настройки IPsec он интегрируется с МПП и расширяет возможности фильтрации МПП, предоставляя информацию для использования в качестве условий фильтрации на уровнях авторизации уровня приложений (ALE). Например, IPsec предоставляет удаленному пользователю и удаленному удостоверению компьютера, который ВПП предоставляет на подключении ALE и принимает уровни авторизации. Эти сведения можно использовать для детальной авторизации удаленных удостоверений реализацией брандмауэра на основе МПП.
Ниже приведен пример политики изоляции, которая может быть реализована с помощью IPsec:
- FWPM_LAYER_IKEEXT_V{4|6} — проверка подлинности Kerberos.
- FWPM_LAYER_IPSEC_V{4|6} слоев — AH/SHA-1.
- FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} и FWPM_LAYER_OUТБOUND_TRANSPORT_V{4|6} — обнаружение согласования для всего сетевого трафика.
- FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} слоев — IPsec, необходимый для всего сетевого трафика.
См. также
-
Уровни МПП
-
Сценарии политики IPsec, реализованные с помощью API МПП:
-
Решения IPsec: