Konfigurowanie trybu transportu protokołu IPsec dla prywatnej komunikacji równorzędnej usługi ExpressRoute

Ten artykuł ułatwia tworzenie tuneli IPsec w trybie transportu za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. Tunel jest tworzony między maszynami wirtualnymi platformy Azure z systemem Windows i lokalnymi hostami systemu Windows. Kroki opisane w tym artykule dotyczące tej konfiguracji używają obiektów zasad grupy. Chociaż można utworzyć tę konfigurację bez używania jednostek organizacyjnych (OU) i obiektów zasad grupy (OBIEKTÓW zasad grupy). Kombinacja jednostek organizacyjnych i obiektów zasad grupy ułatwia kontrolę nad zasadami zabezpieczeń i umożliwia szybkie skalowanie w górę. W krokach opisanych w tym artykule założono, że masz już konfigurację usługi Active Directory i znasz już jednostki organizacyjne i obiekty zasad grupy.

Informacje o tej konfiguracji

Konfiguracja w poniższych krokach używa pojedynczej sieci wirtualnej platformy Azure z prywatną komunikacją równorzędną usługi ExpressRoute. Jednak ta konfiguracja może obejmować inne sieci wirtualne platformy Azure i sieci lokalne. Ten artykuł ułatwia zdefiniowanie zasad szyfrowania IPsec, które można zastosować do grupy maszyn wirtualnych platformy Azure lub hostów lokalnych. Te maszyny wirtualne platformy Azure lub hosty lokalne są częścią tej samej jednostki organizacyjnej. Szyfrowanie między maszynami wirtualnymi platformy Azure (vm1 i vm2) i hostem lokalnym jest konfigurowane tylko dla ruchu HTTP z portem docelowym 8080. Różne typy zasad protokołu IPsec można tworzyć na podstawie wymagań.

Praca z jednostkami organizacyjnymi

Zasady zabezpieczeń skojarzone z jednostką organizacyjną są wypychane do komputerów za pośrednictwem obiektu zasad grupy. Istnieje kilka zalet korzystania z jednostek organizacyjnych zamiast stosowania zasad do jednego hosta:

• Skojarzenie zasad z jednostki organizacyjnej gwarantuje, że komputery należące do tej samej jednostki organizacyjnej uzyskują te same zasady.
• Zmiana zasad zabezpieczeń skojarzonych z jednostki organizacyjnej stosuje zmiany do wszystkich hostów w jednostkach organizacyjnych.

Diagramy

Na poniższym diagramie przedstawiono wzajemne połączenia i przypisaną przestrzeń adresów IP. Maszyny wirtualne platformy Azure i host lokalny korzystają z systemu Windows 2016. Maszyny wirtualne platformy Azure i host lokalny1 są częścią tej samej domeny. Maszyny wirtualne platformy Azure i hosty lokalne mogą prawidłowo rozpoznawać nazwy przy użyciu systemu DNS.

Na tym diagramie przedstawiono tunele IPsec podczas przesyłania w prywatnej komunikacji równorzędnej usługi ExpressRoute.

Praca z zasadami protokołu IPsec

W systemie Windows szyfrowanie jest skojarzone z zasadami protokołu IPsec. Zasady protokołu IPsec określają, który ruch IP jest zabezpieczony, oraz mechanizm zabezpieczeń zastosowany do pakietów IP. Zasady protokołu IPSec składają się z następujących elementów: Listy filtrów, akcje filtrowania i reguły zabezpieczeń.

Podczas konfigurowania zasad protokołu IPsec ważne jest zrozumienie następującej terminologii zasad protokołu IPsec:

• Zasady protokołu IPsec: Kolekcja reguł. Tylko jedna zasada może być aktywna ("przypisana") w dowolnym momencie. Każda zasada może mieć co najmniej jedną regułę, z których wszystkie mogą być aktywne jednocześnie. W danym momencie można przypisać tylko jedną aktywną zasadę IPsec. Jednak w ramach zasad protokołu IPsec można zdefiniować wiele akcji, które mogą być podejmowane w różnych sytuacjach. Każdy zestaw reguł protokołu IPsec jest skojarzony z listą filtrów, która ma wpływ na typ ruchu sieciowego, do którego ma zastosowanie reguła.

• Listy filtrów: Listy filtrów są pakietem co najmniej jednego filtru. Jedna lista może zawierać wiele filtrów. Filtr określa, czy komunikacja jest blokowana, dozwolona lub zabezpieczona na podstawie następujących kryteriów: zakresy adresów IP, protokoły, a nawet określone porty. Każdy filtr pasuje do określonego zestawu warunków; na przykład pakiety wysyłane z określonej podsieci do określonego komputera na określonym porcie docelowym. Gdy warunki sieciowe są zgodne z co najmniej jednym z tych filtrów, lista filtrów jest aktywowana. Każdy filtr jest zdefiniowany wewnątrz określonej listy filtrów. Filtry nie mogą być współużytkowane między listami filtrów. Jednak dana lista filtrów może zostać uwzględniona w kilku zasadach protokołu IPsec.

• Akcje filtru: Metoda zabezpieczeń definiuje zestaw algorytmów zabezpieczeń, protokołów i kluczy, które oferuje komputer podczas negocjacji IKE. Akcje filtru to listy metod zabezpieczeń sklasyfikowanych w kolejności preferencji. Gdy komputer negocjuje sesję protokołu IPsec, akceptuje lub wysyła propozycje na podstawie ustawienia zabezpieczeń przechowywanego na liście akcji filtru.

• Reguły zabezpieczeń: Reguły określają, jak i kiedy zasady protokołu IPsec chronią komunikację. Używa ona akcji listy filtrów i filtrów , aby utworzyć regułę protokołu IPsec w celu skompilowania połączenia IPsec. Każda zasada może mieć co najmniej jedną regułę, z których wszystkie mogą być aktywne jednocześnie. Każda reguła zawiera listę filtrów IP i kolekcję akcji zabezpieczeń, które mają miejsce po dopasowaniu do tej listy filtrów:

  • Akcje filtru IP
  • Metody uwierzytelniania
  • Ustawienia tunelu IP
  • Typy połączeń

systemu Windows

Zanim rozpoczniesz

Upewnij się, że spełnisz następujące wymagania wstępne:

• Musisz mieć działającą konfigurację usługi Active Directory, której można użyć do zaimplementowania ustawień zasady grupy. Aby uzyskać więcej informacji na temat obiektów zasad grupy, zobacz zasady grupy Objects (Obiekty zasady grupy).

• Musisz mieć aktywny obwód usługi ExpressRoute.

  • Aby uzyskać informacje na temat tworzenia obwodu usługi ExpressRoute, zobacz Tworzenie obwodu usługi ExpressRoute.
  • Sprawdź, czy obwód został włączony przez dostawcę łączności.
  • Sprawdź, czy masz prywatną komunikację równorzędną platformy Azure skonfigurowaną dla obwodu. Zapoznaj się z artykułem dotyczącym konfigurowania routingu , aby uzyskać instrukcje dotyczące routingu.
  • Sprawdź, czy masz sieć wirtualną i bramę sieci wirtualnej utworzoną i w pełni aprowizowaną. Postępuj zgodnie z instrukcjami, aby utworzyć bramę sieci wirtualnej dla usługi ExpressRoute. Brama sieci wirtualnej dla usługi ExpressRoute używa bramy GatewayType ExpressRoute, a nie sieci VPN.

• Brama sieci wirtualnej usługi ExpressRoute musi być połączona z obwodem usługi ExpressRoute. Aby uzyskać więcej informacji, zobacz Łączenie sieci wirtualnej z obwodem usługi ExpressRoute.

• Sprawdź, czy maszyny wirtualne platformy Azure z systemem Windows są wdrażane w sieci wirtualnej.

• Sprawdź, czy istnieje łączność między hostami lokalnymi a maszynami wirtualnymi platformy Azure.

• Sprawdź, czy maszyny wirtualne platformy Azure z systemem Windows i hosty lokalne mogą używać systemu DNS do prawidłowego rozpoznawania nazw.

Przepływ pracy

1. Utwórz obiekt zasad grupy i skojarz go z jednostką organizacyjną.
2. Zdefiniuj akcję filtru IPsec.
3. Zdefiniuj listę filtrów protokołu IPsec.
4. Utwórz zasady protokołu IPsec przy użyciu reguł zabezpieczeń.
5. Przypisz obiekt zasad grupy protokołu IPsec do jednostki organizacyjnej.

Przykładowe wartości

• Nazwa domeny: ipsectest.com

• OU: IPSecOU

• Lokalny komputer z systemem Windows: host1

• Maszyny wirtualne z systemem Windows platformy Azure: vm1, vm2

1. Tworzenie obiektu zasad grupy

1. Utwórz nowy obiekt zasad grupy połączony z jednostką organizacyjną, otwierając przystawkę zarządzanie zasady grupy. Następnie znajdź jednostki organizacyjnej, z którą jest połączony obiekt zasad grupy. W tym przykładzie jednostka organizacyjna nosi nazwę IPSecOU.

   

2. W przystawce zasady grupy Management wybierz jednostkę organizacyjną i kliknij prawym przyciskiem myszy. Na liście rozwijanej wybierz pozycję "Utwórz obiekt zasad grupy w tej domenie i połącz go tutaj...".

   jednostką organizacyjną

3. Nazwij obiekt zasad grupy intuicyjną nazwę, aby można było ją łatwo zlokalizować później. Wybierz przycisk OK , aby utworzyć i połączyć obiekt zasad grupy.

   jednostką organizacyjną

2. Włącz link obiektu zasad grupy

Aby zastosować obiekt zasad grupy do jednostki organizacyjnej, obiekt zasad grupy musi być połączony nie tylko z jednostką organizacyjną, ale także musi być włączony link.

1. Znajdź utworzony obiekt zasad grupy, kliknij prawym przyciskiem myszy i wybierz pozycję Edytuj z listy rozwijanej.

2. Aby zastosować obiekt zasad grupy do jednostki organizacyjnej, wybierz pozycję Włącz łącze.

   

3. Definiowanie akcji filtru IP

1. Z listy rozwijanej kliknij prawym przyciskiem myszy pozycję Zasady zabezpieczeń IP w usłudze Active Directory, a następnie wybierz pozycję Zarządzaj listami filtrów IP i akcjami filtrowania....

   

2. Na karcie "Zarządzaj akcjami filtru" wybierz pozycję Dodaj.

   

3. W kreatorze akcji filtru zabezpieczeń IP wybierz pozycję Dalej.

   

4. Nadaj akcji filtru intuicyjną nazwę, aby później ją znaleźć. W tym przykładzie akcja filtru nosi nazwę myEncryption. Możesz również dodać opis. Następnie wybierz pozycję Dalej.

   

5. Negocjuj zabezpieczenia umożliwiają zdefiniowanie zachowania, jeśli nie można ustanowić protokołu IPsec z innym komputerem. Wybierz pozycję Negocjuj zabezpieczenia, a następnie wybierz pozycję Dalej.

   

6. Na stronie Komunikacja z komputerami, które nie obsługują protokołu IPsec , wybierz pozycję Nie zezwalaj na niezabezpieczoną komunikację, a następnie wybierz przycisk Dalej.

   

7. Na stronie Ruch IP i zabezpieczenia wybierz pozycję Niestandardowe, a następnie wybierz pozycję Ustawienia....

   

8. Na stronie Ustawienia niestandardowej metody zabezpieczeń wybierz pozycję Integralność danych i szyfrowanie (ESP): SHA1, 3DES. Następnie wybierz przycisk OK.

   

9. Na stronie Zarządzanie akcjami filtru widać, że filtr myEncryption został pomyślnie dodany. Wybierz pozycję Zamknij.

   lista akcji filtru

4. Definiowanie listy filtrów IP

Utwórz listę filtrów określającą zaszyfrowany ruch HTTP z docelowym portem 8080.

1. Aby zakwalifikować typy ruchu, które muszą być szyfrowane, użyj listy filtrów IP. Na karcie Zarządzanie listami filtrów adresów IP wybierz pozycję Dodaj , aby dodać nową listę filtrów adresów IP.

   

2. W polu Nazwa: wpisz nazwę listy filtrów adresów IP. Na przykład azure-onpremises-HTTP8080. Następnie wybierz pozycję Dodaj.

   

3. Na stronie Opis filtru IP i właściwość dublowana wybierz pozycję Dublowane. Ustawienie dublowane pasuje do pakietów przechodzących w obu kierunkach, co umożliwia dwukierunkową komunikację. Następnie wybierz przycisk Dalej.

   

4. Na stronie Źródło ruchu IP z listy rozwijanej Adres źródłowy: wybierz pozycję Określony adres IP lub Podsieć.

   

5. Określ adres IP źródłowy lub podsieć: ruchu IP, a następnie wybierz przycisk Dalej.

   

6. Określ adres docelowy: adres IP lub podsieć. Następnie wybierz pozycję Dalej.

   

7. Na stronie Typ protokołu IP wybierz pozycję TCP. Następnie wybierz pozycję Dalej.

   

8. Na stronie Port protokołu IP wybierz pozycję Z dowolnego portu i Do tego portu:. Wpisz 8080 w polu tekstowym. Te ustawienia określają tylko ruch HTTP na porcie docelowym 8080 jest szyfrowany. Następnie wybierz pozycję Dalej.

   port docelowy

9. Wyświetl listę filtrów adresów IP. Konfiguracja listy filtrów IP azure-onpremises-HTTP8080 wyzwala szyfrowanie dla całego ruchu zgodnego z następującymi kryteriami:

   • Dowolny adres źródłowy w wersji 10.0.1.0/24 (podsieć platformy Azure2)
   • Dowolny adres docelowy w podsieci lokalnej 10.2.27.0/25
   • Protokół TCP
   • Port docelowy 8080

   

5. Edytowanie listy filtrów adresów IP

Aby zaszyfrować ten sam typ ruchu z hosta lokalnego do maszyny wirtualnej platformy Azure, potrzebny jest drugi filtr IP. Wykonaj te same kroki, które użyto do skonfigurowania pierwszego filtru IP i utwórz nowy filtr IP. Jedyną różnicą są podsieć źródłowa i podsieć docelowa.

1. Aby dodać nowy filtr adresów IP do listy filtrów adresów IP, wybierz pozycję Edytuj.

   

2. Na stronie Lista filtrów adresów IP wybierz pozycję Dodaj.

   

3. Utwórz drugi filtr adresu IP przy użyciu ustawień w poniższym przykładzie:

   Lista

4. Po utworzeniu drugiego filtru adresu IP lista filtrów adresów IP będzie wyglądać następująco:

   Wpis listy ADRESÓW IP — drugi wpis

Jeśli szyfrowanie jest wymagane między lokalizacją lokalną a podsiecią platformy Azure w celu ochrony aplikacji. Zamiast modyfikować istniejącą listę filtrów adresów IP, możesz dodać nową listę filtrów adresów IP. Kojarzenie co najmniej dwóch list filtrów ADRESów IP z tymi samymi zasadami protokołu IPsec może zapewnić większą elastyczność. Możesz zmodyfikować lub usunąć listę filtrów adresów IP bez wpływu na inne listy filtrów adresów IP.

6. Tworzenie zasad zabezpieczeń protokołu IPsec

Utwórz zasady protokołu IPsec z regułami zabezpieczeń.

1. Wybierz zasady zabezpieczeń IP w usłudze Active Directory skojarzone z jednostkami organizacyjnymi. Kliknij prawym przyciskiem myszy i wybierz pozycję Utwórz zasady zabezpieczeń adresu IP.

   

2. Nadaj nazwę zasadom zabezpieczeń. Na przykład zasady azure-onpremises. Następnie wybierz pozycję Dalej.

   

3. Wybierz pozycję Dalej bez zaznaczenia pola wyboru.

   

4. Sprawdź, czy pole wyboru Edytuj właściwości zostało zaznaczone, a następnie wybierz pozycję Zakończ.

   

7. Edytowanie zasad zabezpieczeń protokołu IPsec

Dodaj do zasad protokołu IPsec listę filtrów IP i akcję filtru , która została wcześniej skonfigurowana.

1. Na karcie Reguły właściwości zasad HTTP wybierz pozycję Dodaj.

   

2. Na stronie powitalnej wybierz pozycję Dalej.

   

3. Reguła udostępnia opcję definiowania trybu protokołu IPsec: trybu tunelu lub trybu transportu.

   • W trybie tunelu oryginalny pakiet jest hermetyzowany zestawem nagłówków IP. Tryb tunelu chroni wewnętrzne informacje routingu przez szyfrowanie nagłówka IP oryginalnego pakietu. Tryb tunelu jest szeroko implementowany między bramami w scenariuszach sieci VPN typu lokacja-lokacja. Tryb tunelu jest w większości przypadków używany do kompleksowego szyfrowania między hostami.

   • Tryb transportu szyfruje tylko ładunek i przyczepę ESP; nagłówek IP oryginalnego pakietu nie jest szyfrowany. W trybie transportu źródło adresu IP i miejsce docelowe ip pakietów są niezmienione.

   Wybierz pozycję Ta reguła nie określa tunelu, a następnie wybierz przycisk Dalej.

   

4. Typ sieci definiuje, które połączenie sieciowe kojarzy się z zasadami zabezpieczeń. Wybierz pozycję Wszystkie połączenia sieciowe, a następnie wybierz przycisk Dalej.

   

5. Wybierz utworzoną wcześniej listę filtrów IP azure-onpremises-HTTP8080, a następnie wybierz przycisk Dalej.

   

6. Wybierz istniejącą akcję filtru myEncryption , która została utworzona wcześniej.

   

7. System Windows obsługuje cztery różne typy uwierzytelniania: Kerberos, certyfikaty, NTLMv2 i klucz wstępny. Ponieważ pracujemy z hostami przyłączanymi do domeny, wybierz pozycję Domyślna usługa Active Directory (protokół Kerberos V5), a następnie wybierz przycisk Dalej.

   

8. Nowe zasady tworzą regułę zabezpieczeń: azure-onpremises-HTTP8080. Wybierz przycisk OK.

   

Zasady protokołu IPsec wymagają, aby wszystkie połączenia HTTP na porcie docelowym 8080 używały trybu transportu protokołu IPsec. Ponieważ protokół HTTP jest protokołem zwykłego tekstu, po włączeniu zasad zabezpieczeń dane są szyfrowane podczas przesyłania za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. Zasady protokołu IPsec dla usługi Active Directory są bardziej złożone do skonfigurowania niż Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Umożliwia to jednak bardziej dostosowanie połączenia IPsec.

8. Przypisywanie obiektu zasad grupy IPsec do jednostki organizacyjnej

1. Wyświetl zasady. Zasady grupy zabezpieczeń są zdefiniowane, ale nie zostały jeszcze przypisane.

   

2. Aby przypisać zasady grupy zabezpieczeń do jednostki organizacyjnej IPSecOU, kliknij prawym przyciskiem myszy zasady zabezpieczeń i wybierz polecenie Przypisz. Każdy komputer należący do jednostki organizacyjnej ma przypisane zasady grupy zabezpieczeń.

   

Sprawdzanie szyfrowania ruchu

Aby sprawdzić obiekt zasad grupy szyfrowania zastosowany do jednostki organizacyjnej, zainstaluj usługi IIS na wszystkich maszynach wirtualnych platformy Azure i na hoście1. Każdy program IIS jest dostosowany do odpowiedzi na żądania HTTP na porcie 8080. Aby zweryfikować szyfrowanie, można zainstalować sniffer sieci (na przykład Wireshark) na wszystkich komputerach w jednostki organizacyjnej. Skrypt programu PowerShell działa jako klient HTTP do generowania żądań HTTP na porcie 8080:

$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000

$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds

Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null

# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}

Poniższe przechwytywanie sieci pokazuje wyniki dla hosta lokalnego1 z filtrem wyświetlania ESP, aby dopasować tylko zaszyfrowany ruch:

Jeśli uruchomisz skrypt programu PowerShell lokalnie (klient HTTP), przechwytywanie sieci na maszynie wirtualnej platformy Azure spowoduje wyświetlenie podobnego śladu.

Następne kroki

Aby uzyskać więcej informacji na temat usługi ExpressRoute, zobacz ExpressRoute FAQ (Usługa ExpressRoute — często zadawane pytania).