Condividi tramite

Configurazione 3: Uso di IPsec tra due host di collegamento locale

  • Articolo

Questa configurazione crea un'associazione di sicurezza IPsec (SA) tra due host nella stessa subnet per eseguire l'autenticazione usando l'intestazione di autenticazione (AH) e l'algoritmo di hash di Message Digest 5 (MD5). In questo esempio la configurazione mostrata protegge tutto il traffico tra due host adiacenti: Host 1, con l'indirizzo locale di collegamento FE80::2AA:FF:FF:FE53:A92C e Host 2, con l'indirizzo locale collegamento FE80::2AA:FF:FE92:D0F1.

Per usare IPsec tra due host di collegamento locale

  1. Nell'host 1 creare file di criteri di sicurezza (SAD) vuoti e criteri di sicurezza usando il comando ipsec6 c. In questo esempio il comando Ipsec6.exe è il test ipsec6 c. In questo modo vengono creati due file per configurare manualmente le associazioni di sicurezza (Test.sad) e i criteri di sicurezza (Test.spd).

  2. Nell'host 1 modificare il file SPD per aggiungere criteri di sicurezza che proteggono tutto il traffico tra Host 1 e Host 2.

    La tabella seguente mostra i criteri di sicurezza aggiunti al file Test.spd prima della prima voce per questo esempio (la prima voce nel file Test.spd non è stata modificata).

    Nome del campo file SPD Valore di esempio
    Criteri 2
    RemoteIPAddr FE80::2AA:FF:FE92:D0F1
    LocalIPAddr *
    Remoteport *
    Protocollo *
    Localport *
    IPSecProtocol AH
    IPSecMode TRASPORTO
    RemoteGWIPAddr *
    SABundleIndex NONE
    Direzione BIDIRECT
    Azione APPLICARE
    InterfaceIndex 0

     

    Posizionare un punto e virgola alla fine della riga che configura questo criterio di sicurezza. Le voci dei criteri devono essere inserite in ordine numerico decrescente.

  3. Nell'host 1 modificare il file SAD, aggiungendo voci SA per proteggere tutto il traffico tra Host 1 e Host 2. È necessario creare due associazioni di sicurezza, una per il traffico all'host 2 e una per il traffico dall'host 2.

    Nella tabella seguente viene illustrata la prima voce sa aggiunta al file Test.sad per questo esempio (per il traffico all'host 2).

    Nome del campo file SAD Valore di esempio
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr CRITERI
    SrcIPAddr CRITERI
    Protocollo CRITERI
    DestPort CRITERI
    SrcPort CRITERI
    AuthAlg HMAC-MD5
    Keyfile Test.key
    Direzione OUTBOUND
    SecPolicyIndex 2

     

    Posizionare un punto e virgola alla fine della riga che configura questo sa.

    Nella tabella seguente viene illustrata la seconda voce sa aggiunta al file Test.sad per questo esempio (per il traffico da Host 2).

    Nome del campo file SAD Valore di esempio
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr CRITERI
    SrcIPAddr CRITERI
    Protocollo CRITERI
    DestPort CRITERI
    SrcPort CRITERI
    AuthAlg HMAC-MD5
    Keyfile Test.key
    Direzione INBOUND
    SecPolicyIndex 2

     

    Posizionare un punto e virgola alla fine della riga che configura questo sa. Le voci SA devono essere inserite in ordine numerico decrescente.

  4. Nell'host 1 creare un file di testo contenente una stringa di testo usata per autenticare i contratti di servizio creati con Host 2. In questo esempio il file Test.key viene creato con il contenuto "Questo è un test". È necessario includere virgolette doppie intorno alla stringa di chiave per poter leggere la chiave dallo strumento ipsec6.

    Microsoft IPv6 Technology Preview supporta solo chiavi configurate manualmente per l'autenticazione di IPsec SAs. Le chiavi manuali sono configurate creando file di testo contenenti la stringa di testo della chiave manuale. In questo esempio viene usata la stessa chiave per gli account del servizio gestito in entrambe le direzioni. È possibile usare chiavi diverse per le applicazioni SA in ingresso e in uscita creando file di chiave diversi e facendo riferimento a tali chiavi con il campo KeyFile nel file SAD.

  5. In Host 2 creare file di associazione di sicurezza (SAD) e criteri di sicurezza (SPD) vuoti usando il comando ipsec6 c. In questo esempio, il comando Ipsec6.exe è ipsec6 c test. Verranno creati due file con voci vuote per la configurazione manuale delle associazioni di sicurezza (Test.sad) e dei criteri di sicurezza (Test.spd).

    Per semplificare l'esempio, gli stessi nomi di file per i file SAD e SPD vengono usati nell'host 2. È possibile scegliere di usare nomi di file diversi in ogni host.

  6. In Host 2 modificare il file SPD per aggiungere criteri di sicurezza che proteggono tutto il traffico tra Host 2 e Host 1.

    Nella tabella seguente viene illustrata la voce dei criteri di sicurezza aggiunta prima della prima voce al file Test.spd per questo esempio ( la prima voce nel file Test.spd non è stata modificata).

    Nome campo file SPD Valore di esempio
    Criteri 2
    RemoteIPAddr FE80::2AA:FF:FE53:A92C
    LocalIPAddr *
    Remoteport *
    Protocollo *
    Localport *
    IPSecProtocol AH
    IPSecMode TRASPORTO
    RemoteGWIPAddr *
    SABundleIndex NONE
    Direzione BIDIRECT
    Azione APPLICARE
    InterfaceIndex 0

     

    Posizionare un punto e virgola alla fine della riga che configura questo criterio di sicurezza. Le voci dei criteri devono essere inserite in ordine numerico decrescente.

  7. In Host 2 modificare il file SAD aggiungendo voci SA per proteggere tutto il traffico tra Host 2 e Host 1. Due associazioni di sicurezza devono essere create una per il traffico verso Host 1 e una per il traffico dall'host 1.

    Nella tabella seguente viene illustrato il primo sa aggiunto al file Test.sad per questo esempio (per il traffico dall'host 1).

    Nome del campo file SAD Valore di esempio
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr CRITERI
    SrcIPAddr CRITERI
    Protocollo CRITERI
    DestPort CRITERI
    SrcPort CRITERI
    AuthAlg HMAC-MD5
    Keyfile Test.key
    Direzione INBOUND
    SecPolicyIndex 2

     

    Posizionare un punto e virgola alla fine della riga che configura questa sa.

    La tabella seguente mostra la seconda voce sa aggiunta al file Test.sad per questo esempio (per il traffico verso l'host 1).

    Nome del campo file SAD Valore di esempio
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr CRITERI
    SrcIPAddr CRITERI
    Protocollo CRITERI
    DestPort CRITERI
    SrcPort CRITERI
    AuthAlg HMAC-MD5
    Keyfile Test.key
    Direzione OUTBOUND
    SecPolicyIndex 2

     

    Posizionare un punto e virgola alla fine della riga che configura questa sa. Le voci SA devono essere inserite in ordine numerico decrescente.

  8. In Host 2 creare un file di testo contenente una stringa di testo usata per autenticare gli account condivisi creati con Host 1. In questo esempio il file Test.key viene creato con il contenuto "This is a test". È necessario includere virgolette doppie intorno alla stringa di chiave affinché la chiave venga letta dallo strumento ipsec6.

  9. Nell'host 1 aggiungere i criteri di sicurezza configurati e gli account del servizio app dai file SPD e SAD usando il comando ipsec6. In questo esempio, il comando ipsec6 di test viene eseguito nell'host 1.

  10. In Host 2 aggiungere i criteri di sicurezza configurati e gli account di sicurezza dai file SPD e SAD usando il comando ipsec6. In questo esempio, il comando ipsec6 di test viene eseguito nell'host 2.

  11. Ping Host 1 da Host 2 con il comando ping6.

    Se si acquisisce il traffico usando Microsoft Network Monitor o un altro sniffer di pacchetti, verrà visualizzato lo scambio di messaggi Echo Request e Echo Reply ICMPv6 con un'intestazione di autenticazione tra l'intestazione IPv6 e l'intestazione ICMPv6.

Configurazioni consigliate per IPv6

Singola subnet con indirizzi locali di collegamento

Traffico IPv6 tra nodi in subnet diverse di internetwork IPv4 (6to4)