Az IPsec egy nyílt szabványokból álló keretrendszer, amely kriptográfiai biztonsági szolgáltatásokkal teszi lehetővé a biztonságos személyes kommunikációt az IP hálózatokon keresztül. Az IPsec program Microsoft Windows implementációja az Internet Engineering Task Force (IETF) IPsec munkacsoportja által kialakított normákon alapul.
Az IPsec megbízható és biztonságos kapcsolatot alakít ki a forrás IP-címe és a cél IP-címe között. Az adatforgalom titkosítottságáról csak két számítógépnek kell tudnia: a küldő és a fogadó számítógépnek. Biztonsági szempontból mindkét számítógép a saját biztonságát tartja szem előtt, mivel eleve feltételezi, hogy a kommunikációt lebonyolító közvetítő közeg nem biztonságos. Azoknak a számítógépeknek, amelyek csupán irányítják az adatokat a forrás és a cél között, nem szükséges támogatniuk az IPsec-protokollt, kivéve ha tűzfalra alapuló csomagszűrést vagy hálózati címfordítást (NAT) kell végrehajtania a két számítógépnek.
Az IP-biztonság házirend beépülő modullal lehetőség nyílik az IPsec-házirendek létrehozására, szerkesztésére és hozzárendelésére a saját számítógéphez és távoli számítógépekhez.
 | Megjegyzés |
A dokumentáció célja, hogy elegendő információt biztosítson az IP-sec házirend beépülő modul megértéséhez és használatához. A házirendek tervezésének és telepítésének leírása túlmutat ezen a dokumentáción. |
Az IPsec-házirendek áttekintése
Az IPsec házirendek az IPsec biztonsági szolgáltatások konfigurálására szolgálnak. A házirendek változó szintű védelmet biztosítanak a legtöbb forgalomtípushoz szinte valamennyi létező hálózat esetében. Az IPsec-házirendek beállíthatók úgy, hogy megfeleljenek az adott számítógép, szervezeti egység, tartomány, hely vagy vállalat igényeinek. A Windows jelen verziójában elérhető IPsec-házirend beépülő modullal definiálható az IPsec házirend a Csoportházirend-objektumokon keresztül elérhető számítógépeken (tartományi tagoknak) illetve a helyi vagy távoli számítógépen.
 | Fontos! |
Az IP-biztonsági házirend beépülő modul olyan IPsec-házirendek létrehozására szolgál, amelyek alkalmazhatók ugyan a Windows Vista rendszert és a Windows későbbi verzióit futtató számítógépen, a beépülő modul azonban nem használja a Windows Vista rendszerben és a Windows újabb verzióiban megtalálható új biztonsági algoritmusokat és egyéb új funkciókat. Ha ezekhez a számítógépekhez szeretne IPsec-házirendeket létrehozni, használja a Fokozott biztonságú Windows tűzfal beépülő modult. A Fokozott biztonságú Windows tűzfal beépülő modullal létrehozott házirendek nem alkalmazhatók a Windows korábbi verzióin. |
Az IPsec-házirend általános IPsec-házirend beállításokból és szabályokból épül fel. Az általános IPsec-házirend beállítások a beállított szabályoktól függetlenül érvényesek. Ezek a beállítások tartalmazzák a házirend nevét, adminisztratív célokat szolgáló leírását, a kulcscsere-beállításokat és kulcscsere-módszereket. Egy vagy több IPsec-szabály határozza meg, hogy az IPsec melyik forgalomtípussal foglalkozzon, hogyan kezelje a forgalmat és hogyan hitelesítse az IPsec-partnert.
A létrehozott házirendeket alkalmazni lehet tartományra, helyre, szervezeti egységre, valamint helyi szinten is. Egyszerre csak egy házirend lehet aktív egy számítógépen. A Csoportházirend-objektumokkal kiosztott és alkalmazott házirendek felülírják a helyi házirendeket.
Az IPsec-házirend beépülő modul feladatai
A következő szakasz az IPsec-házirend beépülő modullal végrehajtható általános feladatokat tartalmazza:
Házirend létrehozása
Ha nem egyetlen számítógépre és annak IPsec-partnerére hozza létre a házirendeket, akkor az informatikai környezetnek valószínűleg egy IPsec-házirend csomag létrehozásával tud megfelelni. A házirendek tervezésének, létrehozásának és telepítésének folyamata összetett lehet a tartomány méretétől, a tartományban szereplő számítógépek hasonlóságától és más tényezőktől függően.
A folyamat jellemzően a következő:
- Olyan IP szűrő lista létrehozása, amely megfelel a környezetben található számítógépeknek, alhálózatoknak és a feltételeknek.
- Szűrési műveletek létrehozása a kapcsolatok hitelesítésének, az adatsértetlenség alkalmazásának és az adatok titkosításának végrehajtásától függően. A szűrő művelet egyéb feltételektől függetlenül lehet Tiltás vagy Engedélyezés. A Tiltás művelet elsőbbséget élvez más műveletek felett.
- Olyan házirend csomag létrehozása, amely megfelel a kívánt szűrésnek és szűrőműveleteknek (biztonság).
- Először telepíteni kell az Engedélyezés és Tiltás szűrőműveleteket tartalmazó házirendeket, majd az IPsec környezet megfigyelésével olyan problémákat kell keresni, amelyek a házirendek beállításával elkerülhetők.
- A Biztonsági szint egyeztetése szűrőműveleteket tartalmazó házirendek telepítése, az egyszerű szöveges kommunikációra való visszatérés lehetőségével. Így a környezetben nyílik lehetőség az IPsec működésének tesztelésére, a kommunikáció megszakítása nélkül.
- A házirendek szükséges finomításának végrehajtása után el kell távolítani az egyszerű szöveges kommunikációhoz való visszatérés műveletét minden lehetséges helyen. Ezzel a házirendek a kapcsolat kiépülése előtt megkövetelik a hitelesítést és biztonságot.
- A környezetben nem működő kommunikáció megfigyelése. Ezeket az alapmódú egyeztetési hibák statisztikában megfigyelhető hirtelen növekedés is jelezheti.
 | Új IPsec-házirend létrehozása |
Kattintson a jobb gombbal az IPsec-házirendek csomópontra, majd kattintson az IP-biztonsági házirend létrehozása parancsra.
Az IP-biztonsági házirend varázslóban kattintson a Tovább gombra.
Írja be a házirend nevét és leírását (nem kötelező), majd kattintson a Tovább gombra.
Jelölje be vagy hagyja üresen Az alapértelmezett válaszszabály aktiválása jelölőnégyzetet, majd kattintson a Tovább gombra.
Megjegyzés Az alapértelmezett válaszszabály csak a Windows XP és Windows Server 2003 vagy korábbi verziókban érvényes házirendekre alkalmazható. A Windows későbbi verziói nem tudják használni az alapértelmezett válaszszabályt.
Amennyiben az alapértelmezés szerinti válasz szabályt használja, jelölje be a hitelesítési módszert, majd kattintson a Tovább gombra.
További információt az alapértelmezés szerinti válasz szabályról az IPsec-szabályok című témakörben talál.
Hagyja a Tulajdonságok szerkesztése jelölőnégyzet bejelölve, majd kattintson a Tovább gombra. Szükség esetén további szabályokat adhat a házirendhez.
Szabály hozzáadása vagy módosítása a házirendben
| Házirend szabály hozzáadása |
Kattintson a jobb gombbal az IPsec-házirendre, majd kattintson a Tulajdonságok elemre.
Amennyiben a tulajdonságok párbeszédpanelen kívánja létrehozni a szabályt, törölje a Hozzáadás varázslójelölőnégyzet jelölését. A varázsló használatához hagyja bejelölve a jelölőnégyzetet. Kattintson a Hozzáadás gombra. A következő utasítások a szabály párbeszédpanelen történő létrehozását írják le.
Az Új szabály tulajdonságai párbeszédpanelen található IP-szűrőlista lapon jelölje be a megfelelő szűrőlistát vagy kattintson a Hozzáadás gombra egy új szűrőlista hozzáadásához. Amennyiben korábban már hozott létre szűrőlistákat, azok megjelennek az IP-szűrőlisták listában. További információt a szűrőlisták létrehozásáról és használatáról a Szűrőlisták című témakörben talál.
Megjegyzés Szabályonként csak egy szűrőlista használható.
A Szűrőműveletek lapon jelölje be a megfelelő szűrőműveletet vagy kattintson a Hozzáadás gombra új szűrőművelet hozzáadásához. További információt a szűrőműveletek létrehozásáról és használatáról a Szűrőműveletekcímű témakörben talál.
Megjegyzés Szabályonként csak egy szűrőművelet használható.
A Hitelesítési módszerek lapon jelölje be a megfelelő módszert vagy kattintson a Hozzáadás gombra egy új művelet hozzáadásához. További információt a hitelesítési módszerek létrehozásáról és használatáról az IPsec-hitelesítés című témakörben talál.
Megjegyzés Szabályonként több módszer is alkalmazható. A módszereket a listában megadott sorrendben használja fel a rendszer. Ha tanúsítványokat kíván használni, olyan sorrendben szerepeltesse a listában, amelyben az alkalmazást előírja.
A Kapcsolat típusa lapon jelölje be a szabály által alkalmazandó kapcsolat típusát. További információt a kapcsolattípusokról az IPsec-kapcsolattípus című témakörben talál.
Amennyiben alagutat használ, adja meg a végpontokat a Bújtatási beállítások lapon. Alapértelmezés szerint a rendszer nem használ alagutat. További információt az alagutak használatáról Az IPsec-alagutak beállításai című témakörben talál. A bújtatási szabályokat nem lehet tükrözni.
Amikor végzett az összes beállítással kattintson az OK gombra.
| Házirend szabály módosítása |
Kattintson a jobb gombbal az IPsec-házirendre, majd kattintson a Tulajdonságok elemre.
A Házirend tulajdonságai párbeszédpanelen jelölje be a szabályt, majd kattintson a Szerkesztés elemre.
A Szabály tulajdonságainak szerkesztése párbeszédpanelen található IP-szűrőlista lapon jelölje be a megfelelő szűrőlistát vagy kattintson a Hozzáadás gombra egy új szűrőlista hozzáadásához. További információt a szűrőlisták létrehozásáról és használatáról a Szűrőlisták című témakörben talál.
Megjegyzés Szabályonként csak egy szűrőlista használható.
A Szűrőműveletek lapon jelölje be a megfelelő szűrőműveletet vagy kattintson a Hozzáadás gombra új szűrőlista hozzáadásához. További információt a szűrőműveletek létrehozásáról és használatáról a Szűrőműveletek című témakörben talál.
Megjegyzés Szabályonként csak egy szűrőművelet használható.
A Hitelesítési módszerek lapon jelölje be a megfelelő módszert vagy kattintson a Hozzáadás gombra egy új művelet hozzáadásához. További információt a hitelesítési módszerek létrehozásáról és használatáról az IPsec-hitelesítés című témakörben talál.
Megjegyzés Szabályonként több módszer is alkalmazható. A módszereket a listában megadott sorrendben használja fel a rendszer.
A Kapcsolat típusa lapon jelölje be a szabály által alkalmazandó kapcsolat típusát. További információt a kapcsolattípusokról az IPsec-kapcsolattípus című témakörben talál.
Amennyiben alagutat használ, adja meg a végpontokat a Bújtatási beállítások lapon. Alapértelmezés szerint a rendszer nem használ alagutat. További információt az alagutak használatáról Az IPsec-alagutak beállításai című témakörben talál.
Amikor végzett az összes beállítással, kattintson az OK gombra.
Házirend hozzárendelése
| Házirend hozzárendelése a számítógéphez |
Kattintson a jobb gombbal a házirendre, majd kattintson a Hozzárendelés parancsra.
Megjegyzések: - Egyszerre csak egy házirend rendelhető egy számítógéphez. Házirend hozzárendelése automatikusan törli az aktuálisan hozzárendelt házirend hozzárendelését. Előfordulhat, hogy a tartomány csoportházirendje másik házirendet rendel a számítógéphez, amely figyelmen kívül hagyja a helyi házirendet.
- Egy számítógép és számítógép közötti IPsec házirend sikeres működéséhez egy tükrözött házirendet kell létrehozni a másik számítógépen és azt hozzá kell rendelni.
- A házirend több számítógéphez hozzárendeléséhez használja a Csoportházirend funkciót.