Konfigurace režimu přenosu IPsec pro privátní partnerský vztah ExpressRoute

Tento článek vám pomůže vytvořit tunely IPsec v přenosovém režimu přes privátní partnerský vztah ExpressRoute. Tunel se vytvoří mezi virtuálními počítači Azure s Windows a místními hostiteli Windows. Kroky v tomto článku pro tuto konfiguraci používají objekty zásad skupiny. I když je možné tuto konfiguraci vytvořit bez použití organizačních jednotek (OU) a objektů zásad skupiny (GPO). Kombinace organizačních jednotek a objektů zásad skupiny pomáhá zjednodušit kontrolu nad zásadami zabezpečení a umožňuje rychle vertikálně navýšit kapacitu. Kroky v tomto článku předpokládají, že už máte konfiguraci služby Active Directory a znáte organizační jednotky a objekty zásad skupiny.

O této konfiguraci

Konfigurace v následujících krocích používá jednu virtuální síť Azure s privátním partnerským vztahem ExpressRoute. Tato konfigurace ale může přesahovat do jiných virtuálních sítí Azure a místních sítí. Tento článek vám pomůže definovat zásady šifrování IPsec, které můžete použít na skupinu virtuálních počítačů Azure nebo místních hostitelů. Tyto virtuální počítače Azure nebo místní hostitelé jsou součástí stejné organizační jednotky. Šifrování mezi virtuálními počítači Azure (vm1 a vm2) a místním hostitelem 1 nakonfigurujete jenom pro provoz HTTP s cílovým portem 8080. Na základě vašich požadavků je možné vytvořit různé typy zásad IPsec.

Práce s organizačními procesory

Zásady zabezpečení přidružené k organizační jednotky se nasdílí do počítačů prostřednictvím objektu zásad skupiny. Několik výhod použití organizačních jednotek místo použití zásad u jednoho hostitele:

• Přidružení zásady k organizační jednotky zaručuje, že počítače, které patří do stejné organizační jednotky, získají stejné zásady.
• Změna zásad zabezpečení přidružených k organizační jednotky použije změny u všech hostitelů v organizační jednotky.

Diagramy

Následující diagram znázorňuje propojení a přiřazený adresní prostor IP adres. Virtuální počítače Azure a místní hostitel používají Windows 2016. Virtuální počítače Azure a místní hostitel1 jsou součástí stejné domény. Virtuální počítače Azure a místní hostitelé můžou správně překládat názvy pomocí DNS.

Tento diagram znázorňuje tunely IPsec při přenosu v privátním partnerském vztahu ExpressRoute.

Práce se zásadami IPsec

Ve Windows je šifrování přidružené k zásadám IPsec. Zásady protokolu IPsec určují, který provoz PROTOKOLU IP je zabezpečený, a mechanismus zabezpečení použitý na pakety PROTOKOLU IP. Zásady IPsec se skládají z následujících položek: Seznamy filtrů, akce filtru a pravidla zabezpečení.

Při konfiguraci zásad protokolu IPsec je důležité pochopit následující terminologii zásad protokolu IPsec:

• Zásady IPsec: Kolekce pravidel. V každém okamžiku může být aktivní pouze jedna zásada ("přiřazená"). Každá zásada může mít jedno nebo více pravidel, z nichž všechny můžou být aktivní současně. V daném okamžiku lze počítači přiřadit pouze jednu aktivní zásadu IPsec. V rámci zásad IPsec však můžete definovat více akcí, které se můžou provádět v různých situacích. Každá sada pravidel protokolu IPsec je přidružená k seznamu filtrů, který ovlivňuje typ síťového provozu, na který se pravidlo vztahuje.

• Seznamy filtrů: Seznamy filtrů jsou sbaleny jeden nebo více filtrů. Jeden seznam může obsahovat více filtrů. Filtr definuje, jestli se komunikace zablokuje, povolí nebo zabezpečí na základě následujících kritérií: rozsahy IP adres, protokoly nebo dokonce konkrétní porty. Každý filtr odpovídá určité sadě podmínek; Například pakety odeslané z konkrétní podsítě do konkrétního počítače na konkrétním cílovém portu. Pokud se podmínky sítě shodují s jedním nebo více z těchto filtrů, aktivuje se seznam filtrů. Každý filtr je definován uvnitř konkrétního seznamu filtrů. Filtry nelze sdílet mezi seznamy filtrů. Daný seznam filtrů je však možné začlenit do několika zásad IPsec.

• Akce filtru: Metoda zabezpečení definuje sadu algoritmů zabezpečení, protokolů a klíčů, které počítač nabízí během jednání o protokolu IKE. Akce filtru jsou seznamy metod zabezpečení seřazené v pořadí podle priority. Když počítač vyjedná relaci protokolu IPsec, přijme nebo odešle návrhy na základě nastavení zabezpečení uloženého v seznamu akcí filtru.

• Pravidla zabezpečení: Pravidla určují, jak a kdy zásady IPsec chrání komunikaci. K vytvoření pravidla IPsec pro sestavení připojení IPsec používá filtrovací seznam a filtrovací akce . Každá zásada může mít jedno nebo více pravidel, z nichž všechny můžou být aktivní současně. Každé pravidlo obsahuje seznam filtrů IP adres a kolekci akcí zabezpečení, které probíhají na základě shody s tímto seznamem filtrů:

  • Akce filtru IP adres
  • Metody ověřování
  • Nastavení tunelu PROTOKOLU IP
  • Typy připojení

Než začnete

Ujistěte se, že splňujete následující předpoklady:

• Musíte mít funkční konfiguraci služby Active Directory, kterou můžete použít k implementaci nastavení zásad skupiny. Další informace o objektech zásad skupiny naleznete v tématu Objekty zásad skupiny.

• Musí mít aktivní okruh ExpressRoute.

  • Informace o vytvoření okruhu ExpressRoute najdete v tématu Vytvoření okruhu ExpressRoute.
  • Ověřte, jestli je okruh povolený vaším poskytovatelem připojení.
  • Ověřte, že pro váš okruh máte nakonfigurovaný privátní partnerský vztah Azure. Pokyny ke směrování najdete v článku konfigurace směrování .
  • Ověřte, že máte vytvořenou a plně zřízenou bránu virtuální sítě a bránu virtuální sítě. Podle pokynů vytvořte bránu virtuální sítě pro ExpressRoute. Brána virtuální sítě pro ExpressRoute používá GatewayType ExpressRoute, nikoli VPN.

• Brána virtuální sítě ExpressRoute musí být připojená k okruhu ExpressRoute. Další informace najdete v tématu Připojení virtuální sítě k okruhu ExpressRoute.

• Ověřte, že jsou virtuální počítače Azure s Windows nasazené do virtuální sítě.

• Ověřte, že mezi místními hostiteli a virtuálními počítači Azure existuje připojení.

• Ověřte, že virtuální počítače Azure s Windows a místní hostitelé můžou k správnému překladu názvů použít DNS.

Workflow

1. Vytvořte objekt zásad úrovně a přidružte ho k organizačnímu objektu.
2. Definujte akci filtru IPsec.
3. Definujte seznam filtrů IPsec.
4. Vytvořte zásadu IPsec s pravidly zabezpečení.
5. Přiřaďte objekt zásadU IPsec organizačnímu objektu.

Ukázkové hodnoty

• Název domény: ipsectest.com

• Organizační jednotky: IPSecOU

• Místní počítač s Windows: hostitel1

• Virtuální počítače Azure s Windows: vm1, vm2

1. Vytvoření objektu zásad zásad obnovení

1. Vytvořte nový objekt zásad skupiny propojený s organizační jednotky otevřením modulu snap-in Správa zásad skupiny. Pak vyhledejte organizační jednotky, ke které se objekt zásad zásad služby propojí. V tomto příkladu má organizační jednotky název IPSecOU.

2. V modulu snap-in Správa zásad skupiny vyberte organizační jednotky a klikněte pravým tlačítkem myši. V rozevíracím seznamu vyberte Vytvořit objekt zásadU v této doméně a propojte ho sem....

3. Pojmenujte objekt zásadU intuitivním názvem, abyste ho mohli později snadno najít. Vyberte OK a vytvořte a propojte objekt zásad služby.

   

2. Povolení odkazu objektu zásad služby

Aby se objekt zásad služby použil na organizační jednotky, musí být objekt zásad zásad služby propojený nejen s organizační jednotky, ale musí být také povolený.

1. Vyhledejte objekt zásad správného vytváření, který jste vytvořili, klikněte pravým tlačítkem myši a v rozevíracím seznamu vyberte Upravit .

2. Pokud chcete u organizační jednotky použít objekt zásadU, vyberte Možnost Propojit povoleno.

   

3. Definujte akci filtru IP adres.

1. V rozevíracím seznamu klikněte pravým tlačítkem myši na Zásady zabezpečení PROTOKOLU IP ve službě Active Directory a pak vyberte Spravovat seznamy filtrů IP adres a akce filtru....

   

2. Na kartě Spravovat akce filtru vyberte Přidat.

   

3. V průvodci akcí filtru zabezpečení protokolu IP vyberte Další.

   

4. Pojmenujte akci filtru intuitivním názvem, abyste ji později našli. V tomto příkladu má akce filtru název myEncryption. Můžete také přidat popis. Pak vyberte Další.

   

5. Zabezpečení Negotiate umožňuje definovat chování, pokud protokol IPsec nelze navázat s jiným počítačem. Vyberte Vyjednat zabezpečení a pak vyberte Další.

   

6. Na stránce Komunikace s počítači, které nepodporují protokol IPsec, vyberte Možnost Nepovolit nezabezpečenou komunikaci a pak vyberte Další.

   

7. Na stránce Přenosy IP adres a zabezpečení vyberte Vlastní a pak vyberte Nastavení....

   

8. Na stránce Nastavení vlastní metody zabezpečení vyberte integritu a šifrování dat (ESP): SHA1, 3DES. Pak vyberte OK.

   

9. Na stránce Spravovat akce filtru můžete vidět, že filtr myEncryption byl úspěšně přidán. Vyberte Zavřít.

   

4. Definování seznamu filtrů IP adres

Vytvořte seznam filtrů, který určuje šifrovaný provoz HTTP s cílovým portem 8080.

1. Pokud chcete určit, které typy provozu je potřeba šifrovat, použijte seznam filtrů IP adres. Na kartě Spravovat seznamy filtrů IP vyberte Přidat a přidejte nový seznam filtrů IP adres.

   

2. Do pole Název: zadejte název seznamu filtrů IP adres. Například azure-onpremises-HTTP8080. Pak vyberte Přidat.

   

3. Na stránce popis filtru IP a zrcadlení vlastnosti vyberte Zrcadlené. Zrcadlené nastavení odpovídá paketům procházejících oběma směry, což umožňuje obousměrnou komunikaci. Pak vyberte Další.

   

4. Na stránce Zdroj provozu PROTOKOLU IP v rozevíracím seznamu Zdrojová adresa: Zvolte Konkrétní IP adresu nebo podsíť.

   

5. Zadejte IP adresu zdrojové adresy nebo podsíť: provozu IP adresy a pak vyberte Další.

   

6. Zadejte cílovou adresu: IP adresu nebo podsíť. Pak vyberte Další.

   

7. Na stránce Typ protokolu IP vyberte TCP. Pak vyberte Další.

8. Na stránce Port protokolu IP vyberte z libovolného portu a na tento port:. Do textového pole zadejte 8080 . Tato nastavení určují, že se šifruje jenom provoz HTTP na cílovém portu 8080. Pak vyberte Další.

   

9. Zobrazte seznam filtrů IP adres. Konfigurace seznamu filtrů IP adres azure-onpremises-HTTP8080 aktivuje šifrování pro veškerý provoz, který odpovídá následujícím kritériím:

   • Libovolná zdrojová adresa ve verzi 10.0.1.0/24 (Podsíť Azure2)
   • Libovolná cílová adresa ve verzi 10.2.27.0/25 (místní podsíť)
   • Protokol TCP
   • Cílový port 8080

   

5. Úprava seznamu filtrů IP adres

Pokud chcete zašifrovat stejný typ provozu z místního hostitele na virtuální počítač Azure, potřebujete druhý filtr IP adres. Postupujte podle stejných kroků, které jste použili k nastavení prvního filtru IP adres a vytvoření nového filtru IP adres. Jedinými rozdíly jsou zdrojová podsíť a cílová podsíť.

1. Pokud chcete do seznamu filtrů IP přidat nový filtr IP adres, vyberte Upravit.

   

2. Na stránce Seznam filtrů IP vyberte Přidat.

   

3. Vytvořte druhý filtr IP adres pomocí nastavení v následujícím příkladu:

   

4. Po vytvoření druhého filtru IP adres bude seznam filtrů IP vypadat takto:

   

Pokud se k ochraně aplikace vyžaduje šifrování mezi místním umístěním a podsítí Azure. Místo úprav existujícího seznamu filtrů IP adres můžete přidat nový seznam filtrů IP adres. Přidružení dvou nebo více seznamů filtrů IP adres ke stejné zásadě IPsec vám může poskytnout větší flexibilitu. Seznam filtrů IP adres můžete upravit nebo odebrat, aniž by to mělo vliv na ostatní seznamy filtrů IP adres.

6. Vytvoření zásad zabezpečení protokolu IPsec

Vytvořte zásadu IPsec s pravidly zabezpečení.

1. Vyberte zásady IPSecurity ve službě Active Directory, která je přidružená k organizační složce. Klikněte pravým tlačítkem a vyberte Vytvořit zásady zabezpečení PROTOKOLU IP.

   

2. Pojmenujte zásady zabezpečení. Například policy-azure-onpremises. Pak vyberte Další.

   

3. Zaškrtněte políčko Další bez zaškrtnutí políčka.

   

4. Ověřte, že je zaškrtnuté políčko Upravit vlastnosti , a pak vyberte Dokončit.

   

7. Úprava zásad zabezpečení protokolu IPsec

Přidejte do zásady protokolu IPsec seznam filtrů PROTOKOLU IP a akci filtru, kterou jste dříve nakonfigurovali.

1. Na kartě Pravidla vlastností zásad HTTP vyberte Přidat.

   

2. Na úvodní stránce vyberte Další.

   

3. Pravidlo poskytuje možnost definovat režim IPsec: režim tunelu nebo režim přenosu.

   • V režimu tunelu se původní paket zapouzdřuje sadou hlaviček PROTOKOLU IP. Režim tunelu chrání interní informace o směrování tím, že zašifruje hlavičku PROTOKOLU IP původního paketu. Režim tunelu je široce implementovaný mezi bránami ve scénářích VPN typu site-to-site. Režim tunelu se ve většině případů používá pro komplexní šifrování mezi hostiteli.

   • Dopravní režim šifruje pouze datovou část a přívěs ESP; Hlavička IP původního paketu není šifrovaná. V přenosovém režimu se zdroj IP adresy a cíl IP paketů nezmění.

   Vyberte Toto pravidlo nezadá tunel a pak vyberte Další.

   

4. Typ sítě definuje, které síťové připojení se přidruží k zásadám zabezpečení. Vyberte Všechna síťová připojení a pak vyberte Další.

   

5. Vyberte seznam filtrů IP adres, který jste vytvořili dříve, azure-onpremises-HTTP8080 a pak vyberte Další.

   

6. Vyberte existující akci filtru myEncryption , kterou jste vytvořili dříve.

   

7. Systém Windows podporuje čtyři různé typy ověřování: Kerberos, certifikáty, NTLMv2 a předsdílený klíč. Vzhledem k tomu, že pracujeme s hostiteli připojenými k doméně, vyberte výchozí nastavení služby Active Directory (protokol Kerberos V5) a pak vyberte Další.

   

8. Nová zásada vytvoří pravidlo zabezpečení: azure-onpremises-HTTP8080. Vyberte OK.

   

Zásada IPsec vyžaduje, aby všechna připojení HTTP na cílovém portu 8080 používala režim přenosu IPsec. Vzhledem k tomu, že http je prostý textový protokol, který má povolené zásady zabezpečení, zajišťuje šifrování dat při přenosu prostřednictvím privátního partnerského vztahu ExpressRoute. Zásady protokolu IPsec pro službu Active Directory jsou složitější pro konfiguraci než brána Windows Firewall s pokročilým zabezpečením. Umožňuje ale více přizpůsobení připojení IPsec.

8. Přiřaďte objekt GPO protokolu IPsec organizačnímu objektu organizační jednotky.

1. Zobrazte zásadu. Zásady skupiny zabezpečení jsou definované, ale ještě nejsou přiřazené.

   

2. Chcete-li přiřadit zásady skupiny zabezpečení organizačnímu objektu IPSecOU, klikněte pravým tlačítkem na zásadu zabezpečení a zvolte Přiřadit. Každý počítač, který patří do organizační jednotky, má přiřazené zásady skupiny zabezpečení.

   

Kontrola šifrování provozu

Pokud chcete zkontrolovat objekt zásad skupiny šifrování použitý na organizační jednotky, nainstalujte službu IIS na všechny virtuální počítače Azure a na hostiteli 1. Každá služba IIS je přizpůsobená tak, aby odpovídala na požadavky HTTP na portu 8080. Pokud chcete ověřit šifrování, můžete do všech počítačů v organizační jednotky nainstalovat síťový sniffer (například Wireshark). Skript PowerShellu funguje jako klient HTTP pro generování požadavků HTTP na portu 8080:

$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000

$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds

Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null

# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}

Následující zachytávání sítě zobrazuje výsledky pro místní hostitele1 s filtrem zobrazení ESP tak, aby odpovídal pouze šifrovaným přenosům:

Pokud spustíte skript PowerShellu místně (klient HTTP), zobrazí se v zachytávání sítě na virtuálním počítači Azure podobné trasování.

Další kroky

Další informace o ExpressRoute najdete v tématu ExpressRoute – nejčastější dotazy.