Устранение неполадок
Устранение неполадок в конфигурации политик
Данное руководство посвящено только локальным IPSec-политикам компьютера, которые используют транспортный режим IPSec (не туннельный) при защищенной передаче данных между отправителем и получателем. Это руководство не касается использования групповых политик службы каталогов Active Directory для распространения политик IPSec. Конфигурирование политик IPSec является очень гибким и мощным средством, поэтому для выполнения корректной настройки от Вас требуется понимание протоколов IPSec и процесса согласования IKE. Существует множество конфигурационных настроек безопасности, которые Вы могли бы использовать. Выполните поиск статей в базе знаний Microsoft, касающихся IPSec, а также обратитесь к справочной системе. Дополнительные примечания, находящиеся ниже по тексту, направлены помочь Вам понять, что изначально не поддерживается в конфигурациях политик. Если у Вас не получается установить соединение с помощью IPSec, выполните описанные ниже процедуры для создания простейшей политики протестируйте соединение с ее помощью.
Используйте только один метод проверки подлинности между двумя узлами
Политики IPSec запланированы таким образом, что может быть использоваться только один из методов проверки подлинности при взаимодействии двух узлов независимо от того, сколько методов указывалось при конфигурировании. Если у Вас есть несколько правил, применяемых к одной паре компьютеров (на основе IP-адресов отправителя и получателя), то Вы должны убедиться, что в этих правилах определен одинаковый метод аутентификации для использования обоими компьютерами. Вы должны также убедиться, что используются корректные учетные данные для выбранного метода аутентификации. Например, с помощью оснастки IPSec Вы можете сконфигурировать одно правило, которое использует аутентификацию Kerberos при передаче данных между узлами посредством TCP, и создать второе правило для тех же узлов, но, определив, что при передаче данных по протоколам UDP будет использоваться аутентификация с помощью сертификатов. Такая политика будет не работоспособной, поскольку для исходящего трафика будет выбрано более жесткое правило (поскольку в нем указан протокол UDP, а не только адреса) и в результате при основном режиме согласования IKE второй компьютер будет пытаться найти соответствующее правило в своей политике (в которой указан IP-адрес источника пакета IKE). Таким образом, в этой конфигурации политики используются два различных метода проверки подлинности для одной пары IP-адресов (хостов). Чтобы избежать этой проблемы, не используйте фильтры на основе протоколов или портов при согласовании безопасности передачи данных. Вместо этого задавайте протоколы и порты в конкретных фильтрах преимущественно для разрешения или запрета конкретных типов трафика.
Односторонняя защита IPSec неразрешенного трафика
Политики IPSec не предназначены для установления односторонней защиты трафика с помощью IPSec. Если Вы создаете правило для защиты трафика между узлами А и B (на основе их IP-адресов), то Вы должны указать как трафик в направлении от узла A к узлу B, так и трафик направления от узла B к узлу A в одном и том же списке фильтров. Для этого Вы должны создать два фильтра в одном и том же списке фильтров. В качестве альтернативы Вы можете воспользоваться диалоговым окном Свойства: Фильтр (Filter Specification Properties) из оснастки IPSec и использовать опцию Отраженный (Mirrored). Этот флажок установлен по умолчанию, поскольку защита должна быть согласована для обоих направлений, даже если передача данных осуществляется преимущественно в одном направлении.
Вы можете создать односторонние фильтры для блокирования или разрешения передачи данных, но не для защиты передаваемых данных. Для защиты трафика Вы либо должны определить отраженный фильтр вручную, либо позволить системе создать его автоматически, если установлен флажок Отраженный (Mirrored).
Сертификаты компьютера должны иметь закрытый ключ
Некорректно полученные сертификаты могут стать причиной того, что сертификат существует и выбран для использования проверкой подлинности согласования IKE, но не может быть применен, поскольку на компьютере отсутствует соответствующий сертификату закрытый ключ.
Для проверки того, что сертификат имеет закрытый ключ
На вкладке Общие (General) Вы должны увидеть текст: Есть закрытый ключ соответствующий этому сертификату (You have a private key that corresponds to this certificate). Если Вы не видите этого сообщения, значит, системой не сможет использоваться этот сертификат для IPSec. В зависимости от того, как был осуществлен запрос сертификата и как он был занесен в локальное хранилище сертификатов хоста, этот закрытый ключ может либо не существовать, либо может быть недоступен для использования для согласования IKE. Если сертификат в папке Личные (Personal) не имеет соответствующего закрытого ключа, по-видимому, причина этого в неудачной регистрации сертификата. Если же сертификат был получен с публичного сервера сертификатов Microsoft с опцией усиленная защита закрытого ключа (strong private key protection), то пользователь должен вводить PIN-код каждый раз при предоставлении доступа к закрытому ключу, который используется для подписи данных в процессе IKE-согласования. Поскольку согласование IKE выполняется в фоновом режиме системной службой, то окно запроса PIN-кода не будет отображаться. Поэтому сертификат, полученный с этой опцией, будет не работоспособным при проверке подлинности IKE.
Создание и тестирование простейшей политики
Большинство проблем, в частности проблемы взаимодействия, могут быть решены созданием простейшей политики, а не использованием политик по умолчанию. Когда Вы создаете новую политику, то не разрешайте использование IPSec-туннеля и не используйте правило ответа по умолчанию. Для редактирования политики используйте вкладку Общие (General), при этом ключ обмена должен использовать только одну опцию, которую примет адресат. Например, используйте опции, определенные документом RFC 2049, такие как DES, SHA1 с группой Диффи-Хелмана 1 (низкая). Создайте список фильтров с одним отраженным фильтром, который определяется IP-адресом отправителя (мой IP-адрес) и IP-адресом получателя, с которым Вы пытаетесь установить защищенное соединение. Мы рекомендуем протестировать созданный фильтр, который содержит только IP-адреса. Создайте Ваше собственное действие фильтра для согласования безопасности, использующего только один метод безопасности. Если Вам необходимо просмотреть передачу данных в виде форматированных IPSec-пакетов с помощью анализатора пакетов, используйте средний уровень безопасности (Medium Security). Либо определите пользовательский уровень и создайте один единственный метод безопасности. Например, используйте определенный документом RFC 2049 набор параметров, таких как формат ESP, используя DES вместе c SHA1 с неограниченным сроком жизни и неуказанным режимом безопасной пересылки. Убедитесь, что оба флажка – Принимать небезопасную связь, но не отвечать с помощью IPSec (Accept unsecured communication, but always respond using IPSec) и Разрешить связь с компьютерами не поддерживающими IPSec (Allow unsecured communication with non-IPSec aware computer), используемых при определении метода безопасности, сняты. Это запретит коммуникацию с компьютерами, не поддерживающими IPSec, и запретит использование незащищенных соединений. При использовании метода аутентификации с помощью предварительных ключей, убедитесь, что не используются пробелы в строках символов, и что адресат использует точно такой же предварительный ключ.
Примечание
Второй компьютер должен иметь такую же политику IPSec, за исключением того, что адреса отправителя и получателя должны быть изменены на противоположные.
Вы должны назначить эту политику на компьютере, затем выполнить команду ping для проверки доступности второго компьютера в сети. В результате этой команды Вы должны получить ответы Согласование безопасности (Negotiating security). Это указывает на то, что фильтры политики применяются, и что IKE пытается выполнить согласование безопасности с адресатом на основе пакетов, отправленных командой ping. Если после выполнения несколько раз подряд команды ping Вы увидите Согласование используемого уровня безопасности IP (Negotiating IP Security), то, вероятно, Вы имеете работоспособную политику, иначе у Вас имеются проблемы при согласовании IKE. Обратитесь к разделу "Устранение неполадок при согласовании IKE", представленном ниже.