Slik konfigurerer IP Security

Slik konfigurerer IP Security


IP Security beskytter nettverkstrafikk på et grunnleggende nivå, og derfor er mange forretningskritiske applikasjoner krever dette avansert konfigurasjon tilnærming. Sette opp IP-sikkerhet (IPsec) utfordrer nettverksadministratorer, men fordi det krever mye kontroll over både klient- og server sider av nettverkskonfigurasjon. Konfigurere IPsec bruker Windows Group Policy Objects (GPOer) ved å opprette særskilte regler for klienten og serveren.

Bruksanvisning

1 Konfigurer Windows brannmur bypass å aktivere klient trafikk å omgå vertsbasert brannmur. I Active Directory Group Policy Editor, høyreklikker du på den organisasjonsenhet (OU) som inneholder datamaskinen gjenstand for målserveren og velg "Opprett et GPO i dette domenet, og koble det her." Gi gruppepolicyobjekt (GPO) et meningsfylt navn og klikk "OK." Høyreklikk på GPO og velg "Edit". Utvid policymalen treet i følgende rekkefølge:. "Computer Configuration", "Administrative maler", "Network", "Network Connections" og "Windows Firewall" I den høyre ruten dobbeltklikker du på den politiske "Windows-brannmur: Tillat autentisert IPsec bypass" og klikk på "Enabled".

En brannmur bypass policy for IPsec navn en bestemt gruppe som vil bli gitt tillatelse til å bruke IPsec å krysse vertsbasert brannmur. I feltet "Define IPSec kolleger til å bli fritatt fra brannmuren politikk:" gå inn i sikkerhetsbeskrivelsen Definition Language (SDDL) streng for den tillatte gruppen. Formatet på SDDL strengen for en enkelt gruppe er: "O: DAG: DAD: (A ;; RCGW ;;; SID)," der SID er Security Identifier (SID) av en gruppe konto. Derfor, for å definere innstillingene for din gruppe, teksten av politikken leser noe sånt som "Define IPSec kolleger til å bli fritatt fra brannmur policy: O: DAG: DAD: (A ;; RCGW ;;; S-1-5-21 -4214763869-96332444560-8429442246-100290). " Bruk GETSID kommandolinjeverktøyet mot sikkerhet gruppenavnet for å bestemme SID hvis du ikke allerede vet det.

2 Tildele en server-side "krever kryptering" regelen i Group Policy. For å kreve kryptering via IPsec, må du legge til en sikkerhetsregel til gruppen politikken Windows-innstillinger> Sikkerhetsinnstillinger> IP Security Policies delen. I Group Policy Editor, høyreklikker du på OU inneholder datamaskinen gjenstand for målserveren og velg "Opprett et GPO i dette domenet, og koble det her." Gi gruppepolicyobjekt (GPO) et meningsfylt navn og klikk "OK."

Utvid policymalen treet i følgende rekkefølge:. "Computer Configuration", "Windows-innstillinger" og "IP sikkerhetspolicyer på Active Directory" Høyreklikk på "Secure Server (Krev sikkerhet)" politikk i ruten til høyre og velg "Angi." Når tildelt, krever denne politikken at all trafikk forsøk på å nå serveren vil bruke IPsec.

3 Konfigurer en klient-side "krever kryptering" regelen. For kunder å bruke kryptering for å nå serveren, må du konfigurere en politikk for de kundene som muliggjør kryptering kun for målet serveren. I Group Policy Editor, høyreklikker du på OU inneholder gruppeobjekter som inneholder alle de kundene som vil ha tillatelse til å bruke IPsec å nå målet serveren. Velg «Opprett et GPO i dette domenet, og koble det her." Gi GPO et meningsfylt navn og klikk "OK."

Utvid policymalen treet i følgende rekkefølge:. "Computer Configuration", "Windows-innstillinger" og "IP sikkerhetspolicyer på Active Directory" Dobbeltklikk på "Client (Svare Only)" politikk i den høyre ruten. Klikk på "Add ..." for å starte regel Wizard Security. Godta standardverdiene på "Tunnel Endpoint" og "Nettverkstype", men på "IP Filter List" side, klikk på "Legg til ..." On "IP Filter List" side navnet filterlisten, og klikk "Legg til .. . "for å legge til serveren. Følg veiviseren, specifiying "Any IP-adresse" for kildeadressen og "A bestemt DNS Name" for målet serveren. Skriv inn navn målet serveren i "Host name:" feltet. Fullfør veiviseren med de resterende standardverdiene, og klikk "OK" for å lukke "IP Filer List" veiviseren. I "Security Rule Wizard" velg "Permit" som filter handling og klikk "Next" for å avslutte veiviseren.

Når tildelt, krever denne politikken at all trafikk fra klientmaskinene forsøk på å nå serveren vil bruke IPsec, men trafikk som går til en annen server vil ikke.

4 Apply Group Policy oppdateringer til både kunder og serveren. På hver maskin åpne en ledetekst og skriv "gpupdate." Hvis du blir bedt om å logge av, gjøre det.

Hint

  • Navn hvert gruppepolicyobjektet nøye for å gjøre feilsøking IPsec enklere. Bruk av kommandolinjeverktøyet "gpreport" for å se hvilken gruppe politikk er aktivert og se etter GPOer i listen av anvendt politikk.
  • Kontroller brannmurregler på serveren for å sørge for at alle filter regler ikke kreves for fjernadministrasjon er deaktivert. Brannmuren bypass politikken vil tillate kunder gjennom fordi trafikken er kryptert med IPsec, men denne konfigurasjonen mister sin effekt hvis brannmuren tillater all trafikk gjennom fordi det er feilkonfigurert.
  • For å konfigurere IPsec på en Windows 2003 eller tidligere server, gjennom Petri IT Kunnskaps artikkelen.
  • For IPsec å jobbe UDP Port 500 og IP Port 50 må være tillatt på nettverksnivå via brannmur unntak. I tillegg må NAT-Traversal konfigureres på brannmuren.