Internet 协议安全 (I ec) 循序渐进指南(四)
日期:2006-07-10 荐:
配置 IKE 身份验证方法 接下来您指定计算机如何互相信任,指定当它们尝试建立安全关联时,它们如何验证自己的身份,或互相证明自己的身份。用于 Window 2000 的 IKE 提供三个身份验证方法,来在计算机之间建立信任: Window 2000 域提供的 Kerbero v5 身份验证作为 Kerbero v5 密钥分发中心 (KDC)。如果 Window 2000 计算机是一个域的成员或跨受信任域的成员,那么它在 Window 2000 计算机之间很容易部署安全通信。IKE 只使用 Kerbero 的身份验证属性。使用 IKE RFC 2409 方法为 I ec 安全关联产生密钥。这在 draft-ietf-i ec-isakmp-g -auth-02.txt 中有描述。 使用证书的公钥/私钥签名,与多个证书系统兼容,包括 Microsoft、Entrust、VeriSig 和 etscape。 预先共享的密钥,严格用于在计算机之间建立信任的密码。 在本练习中,您使用预先共享的密钥身份验证。这是两台计算机(发送方和接收方)必须知道的文字或短语,以便互相之间能够信任对方。I ec 通信的双方都必须知道此值。它不用来将应用程序数据加密。相反,它只用在协商期间以确定两台计算机是否互相信任对方。IKE 协商使用此值,但不将它通过网络传递。然而,身份验证密钥以明码格式存储在 I ec 策略内。任何有该计算机管理访问权限的人(或任何对计算机具有有效域用户 ID,且该计算机是 I ec 策略存储在 Active Directory 中的域的成员)都能够看得见身份验证密钥值。域管理员必须在目录 I ec 策略中设置自定义访问控制,以防止普通用户读取 I ec 策略。因此,Microsoft 不建议使用预先共享的密钥进行 I ec 身份验证,除非进行测试,或要求与第三方供应商 I ec 版本进行互操作的情况。相反,Microsoft 建议使用 Kerbero 或证书身份验证。 为规则配置身份验证方法 选择此字串用来保护密钥交换并输入 ABC123 作为字符串。您决不能使用空字符串。单击下一步。 备注 如果您想使用证书进行身份验证,参见使用 Internet 可用的证书服务器从 Microsoft 获得测试用的证书的说明。 配置 I ec 筛选器列表 I 安全在发送和接收 I 数据包时应用于 I 数据包。当发送(出站)数据包时,将数据包与筛选器对照,看它们是否需要保护、闭锁或以明码形式传递。当接收数据包(入站)时,也将数据包与筛选器对照,看它们是否应该保护、闭锁或允许进入系统。有两种类型的筛选器:控制 I ec 传输模式安全的筛选器和控制 I ec 隧道模式安全的筛选器。首先将 I ec 隧道筛选器应用于所有的数据包。然后,如果无匹配,就会搜索 I ec 传输模式筛选器。有一些类型的 I 通信无法通过 Window 2000 中的 I ec 传输筛选器的设计来保护,这些类型包括: 广播地址 - 通常以 .25 结束 - 带有适当的子网掩码。 从 224.0.0.0 到 239.255.255.255 的多播地址。 RSVP-I 协议类型 46。它允许 RSV 发送服务质量 (QOS) 请求信号,以便进行以后可能受 I ec 保护的应用程序通信。 Kerberos-UD 源或目标端口 88。Kerbero 本身是一个安全协议,I ec 的 IKE 协商服务用它来对域中的其它计算机进行身份验证。 IKE-UD 目标端口 500。这是用来允许 IKE 为 I ec 安全协商参数的。 这些例外适用于 I ec 传输模式筛选器。传输模式筛选器应用到宿主数据包,这些数据具有发送数据包的计算机的源地址,或接收数据包的计算机的目标地址。I ec 隧道只可保护单播 I 通信的安全。用于 I ec 隧道的筛选器必须只基于地址,而不基于协议和端口字段。如果隧道筛选器是协议或端口特有的,那么原始数据包的片段就不会由隧道传送,且原始的完全 I 数据包会丢失。如果在一个接口接收到单播 Kerberos、IKE 或 RSV 数据包,且被路由到另一个接口(使用数据包转发或路由和远程访问服务),那么它们不会从 I ec 隧道模式筛选器中免除,因此能够在隧道内部传送。I ec 隧道模式筛选器不能筛选多路广播或广播数据包,因此这些数据包就不会在 I ec 隧道内部传送。 单个的筛选器规范可以组成筛选器列表,以使通信的复杂模式能作为命名的筛选器列表进行分组和管理,如“建立 7 个文件服务器”或“所有闭锁的通信”。在必要时,筛选器列表可以在同一策略的不同的 I ec 规则之间,或不同的 I ec 策略之间共享。 当为必须保护其安全的通信配置 I 筛选器时,确保一定要镜像筛选器。镜像筛选器能够自动配置入站和出站两种筛选器。 您还要在您的计算机和您的伙伴的计算机之间配置筛选器。您必须配置出站筛选器,指定您的 I 地址作为源地址,指定您的伙伴的地址作为目标地址。然后镜像处理配置将自动配置入站筛选器,指定您的伙伴的计算机作为源地址,指定您的计算机的 I 地址作为目标地址。在这种简单的情况下,在筛选器列表中只有一个镜像的筛选器规范。
标签: