Windows - L2TP/IPSec és NAT-T frissítés

A Microsoft közzétett egy frissítőcsomagot, amely kiterjeszti a Layer Two Tunneling Protocol (L2TP) és az Internet Protocol security (IPSec) funkcióit a Windows 2000 és XP számítógépeken. Cikkünkben bemutatjuk ezeket az újdonságokat.
A frissítés segítségével az IPSec jobb támogatást nyújt a hálózati címfordító (NAT) eszközök mögötti VPN klienseknek azáltal, hogy az (IETF) RFC 3193 specifikációt és a draft-02 IETF NAT-T specifikációt valósítja meg. A frissítés még tartalmaz támogatást egy erősebb IPSec védelemhez, a 2048 bites Diffie-Hellman algoritmust használva.
Új IPSec tulajdonságok és kezelő, figyelő bővítmények
  • A frissítés telepítése után, az L2TP/IPSec kliensek létrehozhatnak IPSec kapcsolatokat NAT kiszolgáló mögül. Ez az új NAT-T kód az előbbiekben említett szabványokon alapul.
  • A frissített IPSec figyelő snap-in képes figyelni a gépeket, amelyek XP-t futtatnak, de csak ha az XP alapú gépre a frissítés telepítve van.
  • A frissített IPSec figyelő nyomon tudja követni a Windows 2003 kiszolgálókat. Ugyanígy a Windows 2003 kiszolgálók is képesek figyelni azokat az XP gépeket, ahol a frissítés telepítve van.
  • Ugyanilyen módon Windows 2000 gépek nem figyelhetők meg.
  • Az új IPSec kezelő snap-in átvált csak olvasható módba, amikor olyan házirend objektumokkal találkozik, amelyek a Windows 2003-ban létrehozott kiterjesztett funkciókkal rendelkeznek (például: DH2048, tanúsítvány megfeleltetés vagy dinamikus szűrők). Ez okozza azt, hogy a snap-in objektumok (például szabályok, szűrő listák) csak olvashatóvá válnak, ha utalásokat tartalmaznak ezekre az új beállításokra. IPSec kezelés read-only módba vált, így nem tud véletlenül törölni ilyen kritikus új tulajdonságot.
  • A frissített IPSec szolgáltatások a Windows XP alapú gépeken felszínre hozzák a legtöbb új tulajdonságot, amit a Windows 2003 szerver házirendje nyújt. A tanúsítvány megfeleltetés azonban nem elérhető.
  • Ha egy korábbi verziójú IPSeccmd eszköz van telepítve az XP gépre (ez az eszköz nem elérhető Windows 2000-ben), akkor az újabb verziójú IPSeccmd telepítődik a \Program Files\Support Tools mappába. A korábbi eszköz csak a korábbi állapotban, az új eszköz pedig csak a frissített géppel tud együttműködni. Az új eszköz a következő tulajdonságokkal rendelkezik:
  • Dinamikusan kapcsolja az Internet Key Exchange (IKE) naplózást ki és be.
  • Információkat mutat az aktuálisan illetékes házirendről.
  • Lehetővé teszi állandó IPSec házirend létrehozását.
NAT-T és tűzfal szabálycsoport
Az új NAT-T kód miatt, ezeknek a szolgáltatásoknak a tűzfalon keresztüli használatához meg kell nyitni az alábbi port-okat a tűzfal szabályai között:
  • L2TP – User Datagram Protocol (UDP) 500, UDP 1701
  • NAT-T – UDP 4500
  • ESP - Internet Protocol (IP) protocol 50
Ez lehet, hogy kihat az átjárók szerver konfigurációira.
2048 bites Diffie-Hellman algoritmusfrissítés
Ahhoz, hogy az L2TP/IPSec kliensek a Diffie-Hellman 2048 bites algoritmus segítségével kapcsolódjanak, a távoli elérésű szervernek támogatnia kell ezt a kulcsméretet.
Ahhoz, hogy az algoritmust használjuk, ha Windows 2003 szervert futtatunk, létre kell hoznunk egy registry kulcsot. Kövessük az alábbi lépéseket:
Keressük meg az alábbi registry alkulcsot:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
Hozzunk létre egy új DWORD értéket. Írjuk be, hogy NegotiateDH2048, és üssünk enter-t. A létrehozott értéket állítsuk 1-re.
Egyéb
  • IPSec offload hardver: IPSec "kirakodó" hálózati adapterek nem töltik ki a biztonsági társításokat, amelyek a NAT-ok segítségével jöttek létre.
  • Az új tulajdonságok nem láthatók tökéletesen: aWindows 2003 által használt új házirend funkciók nem láthatók tökéletesen az IPSec monitor segítségével. A DH2048 csoport 268435457-ként látszik, és a dinamikus szűrő nevek, mint pl. WINS, vagy DHCP nem jelennek meg mind. Az oszlop üres.