IPsec-transportmodus configureren voor persoonlijke ExpressRoute-peering
Dit artikel helpt u bij het maken van IPsec-tunnels in de transportmodus via Persoonlijke ExpressRoute-peering. De tunnel wordt gemaakt tussen Azure-VM's waarop Windows en on-premises Windows-hosts worden uitgevoerd. De stappen in dit artikel voor deze configuratie maken gebruik van groepsbeleidsobjecten. Hoewel het mogelijk is om deze configuratie te maken zonder organisatie-eenheden (OE's) en groepsbeleidsobjecten (GPO's) te gebruiken. De combinatie van organisatie-eenheden en GPO's vereenvoudigt de controle over uw beveiligingsbeleid en stelt u in staat om snel omhoog te schalen. Bij de stappen in dit artikel wordt ervan uitgegaan dat u al een Active Directory-configuratie hebt en dat u bekend bent met het gebruik van organisatie-eenheden en GPO's.
Over deze configuratie
De configuratie in de volgende stappen maakt gebruik van één virtueel Azure-netwerk (VNet) met persoonlijke ExpressRoute-peering. Deze configuratie kan echter over andere Azure-VNets en on-premises netwerken gaan. Dit artikel helpt u bij het definiëren van een IPsec-versleutelingsbeleid dat u kunt toepassen op een groep azure-VM's of on-premises hosts. Deze Azure-VM's of on-premises hosts maken deel uit van dezelfde organisatie-eenheid. U configureert versleuteling tussen de Azure-VM's (vm1 en vm2) en de on-premises host1 alleen voor HTTP-verkeer met doelpoort 8080. Er kunnen verschillende typen IPsec-beleid worden gemaakt op basis van uw vereisten.
Werken met OE's
Het beveiligingsbeleid dat is gekoppeld aan een organisatie-eenheid, wordt via GPO naar de computers gepusht. Enkele voordelen van het gebruik van OE's in plaats van beleid toe te passen op één host, zijn:
- Het koppelen van een beleid aan een organisatie-eenheid garandeert dat computers die deel uitmaken van dezelfde organisatie-eenheid hetzelfde beleid krijgen.
- Als u het beveiligingsbeleid wijzigt dat is gekoppeld aan de organisatie-eenheid, worden de wijzigingen toegepast op alle hosts in de organisatie-eenheid.
Diagrammen
In het volgende diagram ziet u de interconnectie en de toegewezen IP-adresruimte. Op de Azure-VM's en de on-premises host wordt Windows 2016 uitgevoerd. De Azure-VM's en de on-premises host1 maken deel uit van hetzelfde domein. De Azure-VM's en de on-premises hosts kunnen namen correct omzetten met behulp van DNS.
In dit diagram ziet u de IPsec-tunnels die worden overgedragen in persoonlijke ExpressRoute-peering.
Werken met IPsec-beleid
In Windows is versleuteling gekoppeld aan IPsec-beleid. IPsec-beleid bepaalt welk IP-verkeer wordt beveiligd en welk beveiligingsmechanisme wordt toegepast op de IP-pakketten. IPSec-beleid bestaat uit de volgende items: Filterlijsten, Filteracties en Beveiligingsregels.
Bij het configureren van IPsec-beleid is het belangrijk dat u de volgende terminologie van het IPsec-beleid begrijpt:
IPsec-beleid: Een verzameling regels. Er kan slechts één beleid actief zijn ('toegewezen') op een bepaald moment. Elk beleid kan een of meer regels hebben, die allemaal tegelijk actief kunnen zijn. Aan een computer kan slechts één actief IPsec-beleid op een bepaald moment worden toegewezen. Binnen het IPsec-beleid kunt u echter meerdere acties definiëren die in verschillende situaties kunnen worden uitgevoerd. Elke set IPsec-regels is gekoppeld aan een filterlijst die van invloed is op het type netwerkverkeer waarop de regel van toepassing is.
Filterlijsten: Filterlijsten zijn een bundel van een of meer filters. Eén lijst kan meerdere filters bevatten. Een filter definieert of de communicatie wordt geblokkeerd, toegestaan of beveiligd op basis van de volgende criteria: IP-adresbereiken, protocollen of zelfs specifieke poorten. Elk filter komt overeen met een bepaalde set voorwaarden; bijvoorbeeld pakketten die vanaf een bepaald subnet naar een bepaalde computer op een specifieke doelpoort worden verzonden. Wanneer de netwerkvoorwaarden overeenkomen met een of meer van deze filters, wordt de filterlijst geactiveerd. Elk filter wordt gedefinieerd in een specifieke filterlijst. Filters kunnen niet worden gedeeld tussen filterlijsten. Een bepaalde filterlijst kan echter worden opgenomen in verschillende IPsec-beleidsregels.
Filteracties: Een beveiligingsmethode definieert een set beveiligingsalgoritmen, protocollen en sleutel die een computer aanbiedt tijdens IKE-onderhandelingen. Filteracties zijn lijsten met beveiligingsmethoden, gerangschikt op volgorde van voorkeur. Wanneer een computer onderhandelt over een IPsec-sessie, accepteert of verzendt deze voorstellen op basis van de beveiligingsinstelling die is opgeslagen in de lijst met filteracties.
Beveiligingsregels: Regels bepalen hoe en wanneer een IPsec-beleid communicatie beveiligt. Er wordt gebruikgemaakt van filterlijst en filteracties om een IPsec-regel te maken om de IPsec-verbinding te maken. Elk beleid kan een of meer regels hebben, die allemaal tegelijk actief kunnen zijn. Elke regel bevat een lijst met IP-filters en een verzameling beveiligingsacties die worden uitgevoerd bij een overeenkomst met die filterlijst:
- IP-filteracties
- Verificatiemethoden
- IP-tunnelinstellingen
- Verbindingstypen
Voordat u begint
Zorg ervoor dat u voldoet aan de volgende vereisten:
U moet een werkende Active Directory-configuratie hebben die u kunt gebruiken om groepsbeleid-instellingen te implementeren. Zie groepsbeleid objecten voor meer informatie over GPO's.
U moet een actief ExpressRoute-circuit hebben.
- Zie Een ExpressRoute-circuit maken voor meer informatie over het maken van een ExpressRoute-circuit.
- Controleer of het circuit wordt ingeschakeld door uw connectiviteitsprovider.
- Controleer of persoonlijke Azure-peering is geconfigureerd voor uw circuit. In het artikel Routering configureren vindt u instructies voor routering.
- Controleer of u een VNet en een virtuele netwerkgateway hebt gemaakt en volledig is ingericht. Volg de instructies om een virtuele netwerkgateway voor ExpressRoute te maken. Een virtuele netwerkgateway voor ExpressRoute gebruikt het GatewayType ExpressRoute, niet VPN.
De virtuele ExpressRoute-netwerkgateway moet zijn verbonden met het ExpressRoute-circuit. Zie Een VNet verbinden met een ExpressRoute-circuit voor meer informatie.
Controleer of de Azure Windows-VM's zijn geïmplementeerd in het VNet.
Controleer of er verbinding is tussen de on-premises hosts en de Azure-VM's.
Controleer of de Azure Windows-VM's en de on-premises hosts DNS kunnen gebruiken om namen op de juiste manier om te zetten.
Werkstroom
- Maak een groepsbeleidsobject en koppel dit aan de organisatie-eenheid.
- Een IPsec-filteractie definiëren.
- Een IPsec-filterlijst definiëren.
- Maak een IPsec-beleid met beveiligingsregels.
- Wijs het IPsec-groepsbeleidsobject toe aan de organisatie-eenheid.
Voorbeeldwaarden
Domeinnaam: ipsectest.com
OU: IPSecOU
On-premises Windows-computer: host1
Azure Windows-VM's: vm1, vm2
1. Een groepsbeleidsobject maken
Maak een nieuw groepsbeleidsobject dat is gekoppeld aan een organisatie-eenheid door de module groepsbeleid Management te openen. Zoek vervolgens de organisatie-eenheid waaraan het groepsbeleidsobject wordt gekoppeld. In het voorbeeld heeft de OE de naam IPSecOU.
Selecteer in de module groepsbeleid Beheer de organisatie-eenheid en klik met de rechtermuisknop. Selecteer in de vervolgkeuzelijst 'Een groepsbeleidsobject maken in dit domein en hier koppelen...'.
Noem het groepsbeleidsobject een intuïtieve naam, zodat u het later gemakkelijk kunt terugvinden. Selecteer OK om het groepsbeleidsobject te maken en te koppelen.
2. De koppeling groepsbeleidsobject inschakelen
Als u het groepsbeleidsobject wilt toepassen op de OE, moet het groepsbeleidsobject niet alleen zijn gekoppeld aan de organisatie-eenheid, maar moet de koppeling ook zijn ingeschakeld.
Zoek het groepsbeleidsobject dat u hebt gemaakt, klik met de rechtermuisknop en selecteer Bewerken in de vervolgkeuzelijst.
Als u het groepsbeleidsobject wilt toepassen op de organisatie-eenheid, selecteert u Koppeling ingeschakeld.
3. De actie IP-filter definiëren
Klik in de vervolgkeuzelijst met de rechtermuisknop op IP-beveiligingsbeleid in Active Directory en selecteer vervolgens IP-filterlijsten en filteracties beheren....
Selecteer op het tabblad Filteracties beheren de optie Toevoegen.
Selecteer volgende in de wizard IP-beveiligingsfilteractie.
Noem de filteractie een intuïtieve naam, zodat u deze later kunt terugvinden. In dit voorbeeld heet de filteractie myEncryption. U kunt ook een beschrijving toevoegen. Selecteer vervolgens Volgende.
Met Onderhandelen over beveiliging kunt u het gedrag definiëren als IPsec niet kan worden ingesteld met een andere computer. Selecteer Onderhandelen over beveiliging en selecteer vervolgens Volgende.
Op de pagina Communiceren met computers die IPsec niet ondersteunen , selecteert u Niet-beveiligde communicatie niet toestaan en selecteert u vervolgens Volgende.
Selecteer op de pagina IP-verkeer en -beveiligingde optie Aangepast en selecteer vervolgens Instellingen....
Selecteer op de pagina Instellingen voor aangepaste beveiligingsmethodede optie Gegevensintegriteit en -versleuteling (ESP): SHA1, 3DES. Selecteer vervolgens OK.
Op de pagina Filteracties beheren ziet u dat het filter myEncryption is toegevoegd. Selecteer Sluiten.
4. Een IP-filterlijst definiëren
Maak een filterlijst die versleuteld HTTP-verkeer met doelpoort 8080 specificeert.
Gebruik een IP-filterlijst om te bepalen welke typen verkeer moeten worden versleuteld. Selecteer op het tabblad IP-filterlijsten beherende optie Toevoegen om een nieuwe IP-filterlijst toe te voegen.
Typ in het veld Naam: een naam voor uw IP-filterlijst. Bijvoorbeeld azure-onpremises-HTTP8080. Selecteer vervolgens Toevoegen.
Selecteer gespiegeld op de pagina Beschrijving van IP-filter en gespiegelde eigenschap. De gespiegelde instelling komt overeen met pakketten die in beide richtingen gaan, waardoor communicatie in twee richtingen mogelijk is. Selecteer vervolgens Volgende.
Kies op de pagina IP-verkeersbron in de vervolgkeuzelijst Bronadres:de optie Een specifiek IP-adres of subnet.
Geef het bronadres IP-adres of subnet: van het IP-verkeer op en selecteer vervolgens Volgende.
Geef het doeladres op: IP-adres of subnet. Selecteer vervolgens Volgende.
Selecteer TCP op de pagina IP-protocoltype. Selecteer vervolgens Volgende.
Selecteer op de pagina IP-protocolpoortde optie Vanaf elke poort en Naar deze poort:. Typ 8080 in het tekstvak. Met deze instellingen wordt alleen het HTTP-verkeer op doelpoort 8080 versleuteld. Selecteer vervolgens Volgende.
De lijst met IP-filters weergeven. De configuratie van de IP-filterlijst azure-onpremises-HTTP8080 activeert versleuteling voor al het verkeer dat voldoet aan de volgende criteria:
- Elk bronadres in 10.0.1.0/24 (Azure Subnet2)
- Elk doeladres in 10.2.27.0/25 (on-premises subnet)
- TCP-protocol
- Doelpoort 8080
5. De IP-filterlijst bewerken
Als u hetzelfde type verkeer van de on-premises host naar de Azure-VM wilt versleutelen, hebt u een tweede IP-filter nodig. Volg dezelfde stappen die u hebt gebruikt voor het instellen van het eerste IP-filter en maak een nieuw IP-filter. De enige verschillen zijn het bronsubnet en het doelsubnet.
Als u een nieuw IP-filter wilt toevoegen aan de IP-filterlijst, selecteert u Bewerken.
Selecteer toevoegen op de pagina IP-filterlijst.
Maak een tweede IP-filter met behulp van de instellingen in het volgende voorbeeld:
Nadat u het tweede IP-filter hebt gemaakt, ziet de lijst met IP-filters er als volgt uit:
Als versleuteling is vereist tussen een on-premises locatie en een Azure-subnet om een toepassing te beveiligen. In plaats van de bestaande IP-filterlijst te wijzigen, kunt u een nieuwe IP-filterlijst toevoegen. Het koppelen van twee of meer IP-filterslijsten aan hetzelfde IPsec-beleid kan u meer flexibiliteit bieden. U kunt een IP-filterlijst wijzigen of verwijderen zonder dat dit van invloed is op de andere IP-filterlijsten.
6. Een IPsec-beveiligingsbeleid maken
Maak een IPsec-beleid met beveiligingsregels.
Selecteer het IP-beveiligingsbeleid in Active Directory dat is gekoppeld aan de organisatie-eenheid. Klik met de rechtermuisknop en selecteer IP-beveiligingsbeleid maken.
Geef het beveiligingsbeleid een naam. Bijvoorbeeld policy-azure-onpremises. Selecteer vervolgens Volgende.
Selecteer Volgende zonder het selectievakje in te schakelen.
Controleer of het selectievakje Eigenschappen bewerken is ingeschakeld en selecteer vervolgens Voltooien.
7. Het IPsec-beveiligingsbeleid bewerken
Voeg aan het IPsec-beleid de IP-filterlijst en filteractie toe die u eerder hebt geconfigureerd.
Selecteer toevoegen op het tabblad Eigenschappenregels voor HTTP-beleid.
Op de pagina Welkom selecteert u Volgende.
Een regel biedt de mogelijkheid om de IPsec-modus te definiëren: tunnelmodus of transportmodus.
In de tunnelmodus wordt het oorspronkelijke pakket ingekapseld met een set IP-headers. De tunnelmodus beveiligt de interne routeringsgegevens door de IP-header van het oorspronkelijke pakket te versleutelen. Tunnelmodus wordt veel geïmplementeerd tussen gateways in site-naar-site-VPN-scenario's. De tunnelmodus wordt in de meeste gevallen gebruikt voor end-to-end-versleuteling tussen hosts.
De transportmodus versleutelt alleen de nettolading en de ESP-aanhangwagen; de IP-header van het oorspronkelijke pakket is niet versleuteld. In de transportmodus zijn de IP-bron en HET IP-doel van de pakketten ongewijzigd.
Selecteer Deze regel geeft geen tunnel op en selecteer vervolgens Volgende.
Netwerktype bepaalt welke netwerkverbinding wordt gekoppeld aan het beveiligingsbeleid. Selecteer Alle netwerkverbindingen en selecteer vervolgens Volgende.
Selecteer de IP-filterlijst die u eerder hebt gemaakt, azure-onpremises-HTTP8080 en selecteer vervolgens Volgende.
Selecteer de bestaande filteractie myEncryption die u eerder hebt gemaakt.
Windows ondersteunt vier verschillende typen verificaties: Kerberos, certificaten, NTLMv2 en vooraf gedeelde sleutel. Omdat we werken met hosts die lid zijn van een domein, selecteert u Standaard Active Directory (Kerberos V5-protocol) en selecteert u vervolgens Volgende.
Met het nieuwe beleid wordt de beveiligingsregel gemaakt: azure-onpremises-HTTP8080. Selecteer OK.
Het IPsec-beleid vereist dat alle HTTP-verbindingen op de doelpoort 8080 de IPsec-transportmodus gebruiken. Omdat HTTP een protocol voor duidelijke tekst is, zorgt het ingeschakelde beveiligingsbeleid ervoor dat gegevens worden versleuteld wanneer ze worden overgedragen via de persoonlijke ExpressRoute-peering. IPsec-beleid voor Active Directory is complexer om te configureren dan Windows Firewall met geavanceerde beveiliging. Het maakt echter meer aanpassing van de IPsec-verbinding mogelijk.
8. Wijs het IPsec-groepsbeleidsobject toe aan de organisatie-eenheid
Bekijk het beleid. Het beveiligingsgroepsbeleid is gedefinieerd, maar nog niet toegewezen.
Als u het beveiligingsgroepsbeleid wilt toewijzen aan de OE IPSecOU, klikt u met de rechtermuisknop op het beveiligingsbeleid en kiest u Toewijzen. Aan elke computer die deel uitmaakt van de organisatie-eenheid is het beveiligingsgroepsbeleid toegewezen.
Verkeersversleuteling controleren
Als u het groepsbeleidsobject voor versleuteling wilt uitchecken dat is toegepast op de organisatie-eenheid, installeert u IIS op alle Azure-VM's en in de host1. Elke IIS is aangepast voor het beantwoorden van HTTP-aanvragen op poort 8080. Als u de versleuteling wilt controleren, kunt u een netwerksniffer (zoals Wireshark) installeren op alle computers in de organisatie-eenheid. Een PowerShell-script werkt als een HTTP-client voor het genereren van HTTP-aanvragen op poort 8080:
$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000
$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds
Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null
# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}
De volgende netwerkopname toont de resultaten voor on-premises host1 met weergavefilter ESP zodat alleen het versleutelde verkeer overeenkomt:
Als u het PowerShell-script on-premises (HTTP-client) uitvoert, toont de netwerkopname in de Azure-VM een vergelijkbare tracering.
Volgende stappen
Zie de Veelgestelde vragen over ExpressRoute voor meer informatie over ExpressRoute.