Объяснение процесса IKE-согласования
Этот раздел предназначен для тех, кто хочет более глубоко изучить процессы согласования IKE. Этого не требуется для выполнения ранее описанных в данном руководстве процедур. Подробное описание IPSec, IKE и других аспектов реализации представлено в информационном разделе веб-сайта, относящегося к операционным системам Windows 2000 Server и Professional. (Аналогичная информация представлена в справке, входящей в состав Windows 2000, хотя и с некоторыми незначительными отличиями. Для просмотра справки запустите оснастку IPSec Policy Management и выберите Справка (Help) или нажмите F1).
События отказа и успеха согласования IKE, а также причины отказа регистрируются в журнале Безопасность (Security). Процедура активирования аудита событий описана в начале данного руководства. Если сервер использует встроенную политику Сервер (запрос безопасности) (Server (request security)), либо любую пользовательскую политику, правила которой используют встроенные действия фильтров Запрос безопасности (необязательно) (Request Security (optional)), то согласование IKE может быть исключено в том случае, если адресат не ответил на запрос IKE. Это событие, называемое "мягким" сопоставлением безопасности (soft security association), также будет зафиксировано в журнале событий. Это также отразится в мониторе IP-безопасности: записи, имеющие в колонке Безопасность (Security) значение нет <none>. Если сервер находится в состоянии Безопасность сервера (Secure Server) и пытается подключиться к адресату, но не получает IKE-ответа от этого адресата, в журнале будет зарегистрировано событие отказа, имеющее причину Нет отклика (no response from peer).
При использовании политики Сервер (запрос безопасности) (Server (request security)) в журнале аудита на сервере Вы можете выявить и проследить адресатов, с которыми были установлены обычные соединения. Следовательно, в этом разделе Вы сможете лучше понять, как создается пользовательская политика, с помощью которой будет осуществляться защищенная передача данных с одними адресатами при разрешении незащищенной передачи данных открытым текстом с другими адресатам и инфраструктурами.
Основной режим IKE (фаза 1)
Изначально более полной формой IKE-согласования (основной режим, или фаза 1) выполняется проверка подлинности, и устанавливаются сопоставления безопасности IKE (security association, SA) между двумя машинами, которые вовлечены в генерацию материала основного ключа. Этот процесс называется сопоставлением безопасности IKE. Основной режим IKE контролируется системой на основе правил политики IPSec с использованием информации из соответствующих фильтров об адресах отправителя и получателя. Выполненное успешное сопоставление безопасности IKE может использоваться в течение 8 часов, что определяется заданными по умолчанию параметрами политик по умолчанию (Используемые параметры обмена ключами (Perform key exchange using additional settings) располагается на вкладке Общие (General)). Если обмен данными осуществляется интенсивно, то после истечения 8 часов основным режимом автоматически будет выполнено новое сопоставление. Сопоставление безопасности основного режима IKE не отображается в мониторе IP-безопасности. Однако, локальный администратор может просмотреть необходимую информацию, выполнив в командной строке команду netdiag.exe /test:ipsec /v. Средство поддержки netdiag.exe находится на установочном компакт-диске ОС Windows 2000 в папке \Support.
Быстрый режим IKE (фаза 2)
Сокращенная версия согласования IKE (быстрый режим) происходит после выполнения основного режима сопоставления безопасности IPSec для защиты конкретного трафика. При этом используются адреса отправителя и получателя (а если указано, то порты и протоколы), указанные в фильтрах политики. Согласование сопоставления безопасности IPSec касается выбора алгоритмов, генерирования ключей сеанса и определения количества индексов параметров безопасности (Security Parameter Index, SPI), используемых в пакетах. Устанавливаются два сопоставления безопасности IPSec, причем каждое имеет свой собственный SPI (в качестве метки пакета): один для исходящего трафика, а второй – для входящего. В мониторе IP-безопасности отображается только одно сопоставление безопасности исходящего трафика. После пяти минут простоя входящего сопоставления безопасности оба сопоставления безопасности (и входящее, и исходящее) будут аннулированы, в результате чего информация о сопоставлении безопасности, относящаяся к исходящему трафику, исчезнет с монитора IP-безопасности. При возобновлении передачи данных с использованием IPSec будет выполнено новое согласование IKE быстрого режима для установления двух новых сопоставлений безопасности IPSec с использованием новых ключей и индексов SPI. В соответствии со значениями, заданными по умолчанию для методов безопасности, требуется выполнение новых сопоставлений безопасности IPSec быстрого режима либо через час (3600 секунд) работы, либо после 100 Мб переданных данных. В случае интенсивной передачи данных за пять минут до истечения срока действия сопоставлений безопасности будет автоматически выполнено новое согласование. Инициатором нового быстрого согласования будет либо сторона, передавшая больший объем данных, либо сторона-инициатор предыдущего быстрого согласования безопасности.