Как настроить IPSec в Windows

Существует множество приложений, которые будут реализовывать аутентификацию и шифрование сетевого трафика через отдельную стороннюю программу.

Тем не менее, операционная система Microsoft может также реализовать это через конфигурацию IPSEC. В этой статье мы рассмотрим, что такое IPSEC, и простой пример реализации.

Что такое IPSEC?

Internet Protocol Security или IPSEC — это протокол, используемый для аутентификации и шифрования IP-коммуникаций. Это достигается путем взаимной аутентификации между агентами, а также обмена криптографическими ключами в начале сеанса.

IPSEC также позволит добавлять ограничения IP и шифрование на уровне TCP / UDP к приложениям, которые иначе не могут его поддерживать. IPSEC использует IP-протокол 50 (ESP), IP-протокол 51 (AH) и UDP-порт 500.

Внедрение IPSEC

В этом примере мы настроим IPSEC для шифрования связи между двумя компьютерами Windows. Первый компьютер, сервер Windows 2012 будет выступать в качестве сервера VPN.

Второй компьютер, клиент Windows 10, будет действовать как клиент VPN. LT2P IPSEC VPN может обмениваться либо предварительным общим ключом, либо сертификатом. В этом примере мы будем обмениваться предварительным общим ключом.

Настройка VPN-сервера

На компьютере с Windows 2012 нам потребуется установить функции маршрутизации и удаленного доступа. Для этого перейдите в диспетчер серверов и добавьте роли и компоненты . Выберите установку на основе ролей или функций . Выберите локальный сервер. Выберите для установки следующие роли сервера.

Сетевая политика и службы доступа

Сервер сетевой политики

Удаленный доступ

Прямой доступ и VPN (RAS)

После установки этих новых функций вам потребуется оснастка для управления ими. Откройте mmc.exe с правами администратора. Перейти к файлу | Добавить / удалить оснастку. Добавьте оснастку маршрутизации и удаленного доступа .

Эта оснастка позволяет настраивать многопротокольные службы маршрутизации LAN-to-LAN, LAN-to-WAN, виртуальная частная сеть (VPN) и трансляция сетевых адресов (NAT).

В консоли MMC щелкните правой кнопкой мыши на маршрутизации и удаленного доступа и выберите, чтобы добавить сервер. Выберите локальную машину. Затем щелкните правой кнопкой мыши на только что созданном компьютере и выберите «Настроить и включить маршрутизацию и удаленный доступ» . Выберите Удаленный доступ (Dial Up или VPN).

Затем проверьте параметр VPN . У вас должно быть как минимум две сетевые карты, чтобы это работало. Одним из них может быть петля. Укажите диапазон адресов, которые будут предоставлены для входящего соединения. Убедитесь, что они не конфликтуют с другими адресами, выделенными в вашей существующей сети. В этом примере мы не будем использовать радиус-сервер.

Далее попытайтесь запустить службу маршрутизации и удаленного доступа. Следующий ключ реестра может потребоваться удалить, чтобы запустить службу.

В консоли mmc.exe щелкните правой кнопкой мыши на имени компьютера и перейдите в Свойства. Измените эти свойства на вкладке безопасности.

Выберите методы аутентификации, как показано ниже.

Установите флажок, чтобы разрешить настраиваемую политику IPSEC для соединения L2TP / IKEv2. Добавьте предварительный общий ключ.

Наконец, вам нужно будет изменить пользователя, чтобы получить доступ к VPN. Откройте compmgmt.msc, перейдите в раздел «Локальные пользователи и группы» и выберите свойства пользователя, которого вы хотите использовать для VPN.

Перейдите на вкладку Dial Up. Выберите Разрешить доступ и нажмите Применить . На вашем компьютере потребуется перезагрузка. После перезагрузки вы будете готовы протестировать свой первый клиент.

Настройка машины с Windows 10

На компьютере с Windows 10 откройте «Настройки сети и Интернета». Выберите VPN на левой панели и добавьте VPN-соединение. Отредактируйте дополнительные параметры.

Разместите IP-адрес вашего VPN-сервера под именем или адресом сервера. Выберите L2TP/IPSEC с параметром предварительного общего ключа в разделе Тип VPN. Добавьте предварительно общий ключ и имя пользователя и пароль.

Свойства безопасности для VPN должны быть изменены под сетевым адаптером. На адаптере VPN выберите «Свойства» и перейдите на вкладку «Безопасность». Установите переключатель EAP и выберите Microsoft: защищенный пароль (EAP-MSCHAPv2) (шифрование включено).

Наконец, снова щелкните правой кнопкой на адаптере для подключения. Поздравляем! Вы создали VPN-туннель IPSEC.

Параметры шифрования по умолчанию для VPN-клиента Microsoft L2TP/IPSec

В этой статье описываются параметры шифрования по умолчанию для клиента виртуальной частной сети (VPN) Microsoft L2TP/IPSec.

Исходная версия продукта: Windows 10 — все выпуски
Исходный номер КБ: 325158

Аннотация

Следующий список содержит параметры шифрования по умолчанию для клиента виртуальной частной сети (VPN) Microsoft L2TP/IPSec для клиентов более ранних версий:

• Стандарт шифрования данных
• Безопасный алгоритм hash
• Diffie-theman Medium
• Режим транспорта
• Инкапсуляция полезной нагрузки безопасности

Клиент не поддерживает следующие параметры:

• Режим туннеля
• AH (загон проверки подлинности)

Эти значения жестко задаются в клиенте, и их нельзя изменить.

Стандарт шифрования данных

Стандарт шифрования данных (3DES) обеспечивает конфиденциальность. 3DES — это наиболее безопасный из сочетаний DES, который обеспечивает более низкую производительность. 3DES обрабатывает каждый блок три раза с использованием уникального ключа каждый раз.

Безопасный алгоритм hash

Безопасный алгоритм hash Algorithm 1 (SHA1) с 160-битным ключом обеспечивает целостность данных.

Diffie-Hellman Medium

Diffie-Hellman группы определяют длину базовых основных чисел, используемых во время обмена ключами. Сила любого производного ключа отчасти зависит от Diffie-Hellman группы, на которой основаны основные числа.

Группа 2 (средняя) является более сильной, чем группа 1 (низкая). Группа 1 предоставляет 768 битов материала ключей, а группа 2 предоставляет 1024 бита. Если неучетные группы указаны на каждом одноранговом сайте, согласование не будет успешным. Вы не можете переключить группу во время согласования.

Большая группа приводит к большей entropy и, следовательно, ключу, который сложнее разбить.

Режим транспорта

Существует два режима работы с IPSec:

• Режим транспорта — в режиме транспорта шифруются только данные сообщения.
• Режим туннеля (не поддерживается) — в режиме туннеля данные, загон и сведения о маршруте шифруются.

Протоколы безопасности IPSec

Инкапсуляция полезной нагрузки безопасности

Инкапсуляция полезной нагрузки системы безопасности (ESP) обеспечивает конфиденциальность, проверку подлинности, целостность и защиту от повтора. ESP обычно не подписывания всего пакета, если пакет не был туннелировали. Как правило, защищены только данные, а не IP-заголок. ESP не обеспечивает целостность IP-загона (адрес).

Загон проверки подлинности (не поддерживается)

Загон проверки подлинности (AH) обеспечивает проверку подлинности, целостность и защиту от воспроизведения для всего пакета (как IP-загон, так и данные, которые были в пакете). AH подписывает весь пакет. Он не шифрует данные, поэтому не обеспечивает конфиденциальность. Вы можете читать данные, но не можете изменять их. ДЛЯ подписи пакета в АЛГОРИТМЕ ЕАО используются алгоритмы HMAC.

Параметры проверки подлинности для VPN VPN authentication options

Относится к: Applies to

• Windows 10 Windows 10
• Windows 10 Mobile Windows 10 Mobile

В дополнение к старым и менее безопасным методам проверки подлинности с паролем (которых следует избегать), встроенное решение VPN использует протокол EAP для безопасной проверки подлинности на основе сертификатов и на основе имени пользователя и пароля. In addition to older and less-secure password-based authentication methods (which should be avoided), the built-in VPN solution uses Extensible Authentication Protocol (EAP) to provide secure authentication using both user name and password, and certificate-based methods. Вы можете настроить проверку подлинности на основе EAP, только выбрав встроенный тип VPN (IKEv2, L2TP, PPTP или автоматический). You can only configure EAP-based authentication if you select a built-in VPN type (IKEv2, L2TP, PPTP or Automatic).

Windows поддерживает различные методы проверки подлинности EAP. Windows supports a number of EAP authentication methods.

Способ Method	Подробности Details
Протокол EAP-MSCHAP версии 2 (EAP-MSCHAPv2) EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MSCHAPv2)	Проверка подлинности на основе имени пользователя и пароля User name and password authentication Учетные данные Winlogon — можно настроить проверку подлинности с помощью учетных данных компьютера Winlogon credentials — can specify authentication with computer sign-in credentials
Протокол EAP-TLS EAP-Transport Layer Security (EAP-TLS)	Поддерживает следующие типы проверки подлинности сертификата Supports the following types of certificate authentication Сертификат с ключами в программном поставщике хранилища ключей (KSP) Certificate with keys in the software Key Storage Provider (KSP) Сертификат с ключами в KSP доверенного платформенного модуля (TPM) Certificate with keys in Trusted Platform Module (TPM) KSP Сертификаты смарт-карты Smart card certficates Сертификат Windows Hello для бизнеса Windows Hello for Business certificate Фильтрация сертификатов Certificate filtering Фильтрацию сертификатов можно включить для поиска определенного сертификата, который будет использоваться для проверки подлинности Certificate filtering can be enabled to search for a particular certificate to use to authenticate with Фильтрация может быть основана на издателе или улучшенном ключе (EKU) Filtering can be Issuer-based or Enhanced Key Usage (EKU)-based Проверка сервера — при использовании TLS проверку сервера можно включить и отключить Server validation — with TLS, server validation can be toggled on or off Имя сервера — укажите сервер для проверки Server name — specify the server to validate Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера Server certificate — trusted root certificate to validate the server Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу Notification — specify if the user should get a notification asking whether to trust the server or not
Протокол PEAP Protected Extensible Authentication Protocol (PEAP)	Проверка сервера — при использовании PEAP проверку сервера можно включить и отключить Server validation — with PEAP, server validation can be toggled on or off Имя сервера — укажите сервер для проверки Server name — specify the server to validate Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера Server certificate — trusted root certificate to validate the server Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу Notification — specify if the user should get a notification asking whether to trust the server or not Внутренний метод — внешний метод создает безопасный туннель внутри, а внутренний метод используется для выполнения проверки подлинности Inner method — the outer method creates a secure tunnel inside while the inner method is used to complete the authentication EAP-MSCHAPv2 EAP-MSCHAPv2 EAP-TLS EAP-TLS Быстрое переподключение: сокращает задержку между запросом на проверку подлинности клиента и ответом сервера политики сети (NPS) или другого сервера RADIUS. Fast Reconnect: reduces the delay between an authentication request by a client and the response by the Network Policy Server (NPS) or other Remote Authentication Dial-in User Service (RADIUS) server. Это снижает требования к ресурсам для клиента и сервера, а также уменьшает число запросов учетных данных у пользователей. This reduces resource requirements for both client and server, and minimizes the number of times that users are prompted for credentials. Привязка с шифрованием: получая значения из материала ключа PEAP этапа 1 (туннельный ключ) и внутреннего материала ключа метода EAP PEAP этапа 2 (внутренний ключ сеанса), можно подтвердить, что два процесса проверки подлинности заканчиваются в одинаковых двух объектах (одноранговый элемент PEAP и сервер PEAP). Cryptobinding: By deriving and exchanging values from the PEAP phase 1 key material (Tunnel Key) and from the PEAP phase 2 inner EAP method key material (Inner Session Key), it is possible to prove that the two authentications terminate at the same two entities (PEAP peer and PEAP server). Этот процесс называется «привязкой с шифрованием» и используется для защиты согласования PEAP от атак типа «злоумышленник в середине». This process, termed «cryptobinding», is used to protect the PEAP negotiation against «Man in the Middle» attacks.
Протокол TTLS Tunneled Transport Layer Security (TTLS)	Внутренний метод Inner method Не EAP Non-EAP Протокол PAP Password Authentication Protocol (PAP) CHAP CHAP MSCHAP MSCHAP MSCHAPv2 MSCHAPv2 EAP EAP MSChapv2 MSCHAPv2 TLS TLS Проверка сервера: в TTLS сервер должен быть проверен. Server validation: in TTLS, the server must be validated. Следующие параметры можно настроить. The following can be configured: Имя сервера Server name Доверенный корневой сертификат для сертификата сервера Trusted root certificate for server certificate Следует ли отправлять уведомление о проверке сервера Whether there should be a server validation notification

Для подключаемого модуля UWP VPN поставщик приложения управляет используемым методом проверки подлинности. For a UWP VPN plug-in, the app vendor controls the authentication method to be used. Можно использовать следующие типы учетных данных: The following credential types can be used:

• смарт-карта; Smart card
• сертификат; Certificate
• Windows Hello для бизнеса; Windows Hello for Business
• имя пользователя и пароль; User name and password
• одноразовый пароль; One-time password
• пользовательский тип учетных данных. Custom credential type

Настройка проверка подлинности Configure authentication

Конфигурацию XML для EAP см. в разделе Конфигурация EAP. See EAP configuration for EAP XML configuration.

Чтобы настроить проверку подлинности Windows Hello для бизнеса, выполните действия, описанные в разделе Конфигурация EAP для создания сертификата смарт-карты. To configure Windows Hello for Business authentication, follow the steps in EAP configuration to create a smart card certificate. Подробнее о Windows Hello для бизнеса. Learn more about Windows Hello for Business.

На следующем изображении показано поле для EAP XML в профиле VPN решения Microsoft Intune. The following image shows the field for EAP XML in a Microsoft Intune VPN profile. Поле EAP XML отображается только при выборе встроенного типа подключения (автоматический, IKEv2, L2TP, PPTP). The EAP XML field only appears when you select a built-in connection type (automatic, IKEv2, L2TP, PPTP).