Konfigurace režimu přenosu IPsec pro privátní partnerské vztahy ExpressRoute

Tento článek vám pomůže vytvořit tunely IPsec v režimu přenosu přes privátní partnerský vztah ExpressRoute. Tunelové propojení se vytvoří mezi virtuálními počítači Azure s Windows a místními hostiteli Windows. Kroky v tomto článku pro tuto konfiguraci používají objekty zásad skupiny. I když je možné vytvořit tuto konfiguraci bez použití organizačních jednotek (OU) a objektů zásad skupiny (GPO). Kombinace organizačních jednotek a objektů zásad skupiny vám pomůže zjednodušit řízení zásad zabezpečení a umožňuje rychlé škálování. V krocích v tomto článku se předpokládá, že už máte konfiguraci Active Directory a jste obeznámeni s používáním organizačních jednotek a objektů zásad skupiny.

O této konfiguraci

Konfigurace v následujících krocích používá jednu virtuální síť Azure s privátním partnerským vztahem ExpressRoute. Tato konfigurace ale může probírat jiné služby Azure virtuální sítě a místní sítě. Tento článek vám pomůže definovat zásady šifrování protokolu IPsec, které můžete použít pro skupinu virtuálních počítačů Azure nebo místních hostitelů. Tyto virtuální počítače Azure nebo místní hostitelé jsou součástí stejné organizační jednotky. Nakonfigurujete šifrování mezi virtuálními počítači Azure (VM1 a VM2) a místním Hostitel1 jenom pro přenosy HTTP s cílovým portem 8080. Na základě vašich požadavků je možné vytvořit různé typy zásad protokolu IPsec.

Práce s organizačními jednotkami

Zásady zabezpečení přidružené k organizační jednotce se odesílají do počítačů prostřednictvím objektu zásad skupiny. Několik výhod používání organizačních jednotek místo toho, aby bylo možné použít zásady na jediného hostitele, jsou tyto:

• Přidružení zásady k organizační jednotce zaručuje, že počítače, které patří do stejné organizační jednotky, získají stejné zásady.
• Změna zásad zabezpečení přidružených k organizační jednotce použije změny na všechny hostitele v organizační jednotce.

Diagram

Následující diagram znázorňuje propojení a přiřazený adresní prostor IP adres. Virtuální počítače Azure a místní hostitel používají systém Windows 2016. Virtuální počítače Azure a místní Hostitel1 jsou součástí stejné domény. Virtuální počítače Azure a místní hostitelé můžou názvy správně přeložit pomocí DNS.

Tento diagram zobrazuje tunely IPsec při přenosu v privátním partnerském vztahu ExpressRoute.

Práce se zásadami IPsec

V systému Windows je k zásadám IPsec přidruženo šifrování. Zásady protokolu IPsec určují, který provoz IP je zabezpečený, a mechanismus zabezpečení, který se použije pro pakety protokolu IP. Zásady protokolu IPSec se skládají z následujících položek: filtrovat seznamy, filtrovat akce a pravidla zabezpečení.

Při konfiguraci zásad protokolu IPsec je důležité pochopit následující terminologii zásad IPsec:

• Zásada protokolu IPSec: Kolekce pravidel V jednom okamžiku může být aktivní jenom jedna zásada (přiřazená). Každá zásada může mít jedno nebo více pravidel, z nichž každá může být aktivní současně. V daném okamžiku může být počítači přiřazena pouze jedna aktivní zásada protokolu IPsec. V rámci zásad protokolu IPsec však můžete definovat více akcí, které mohou být provedeny v různých situacích. Každá sada pravidel IPsec je přidružená k seznamu filtrů, který má vliv na typ síťového provozu, na který se pravidlo vztahuje.

• Seznamy filtru: Seznamy filtrů jsou sady jednoho nebo více filtrů. Jeden seznam může obsahovat více filtrů. Filtr definuje, jestli se komunikace zablokuje, povoluje nebo zabezpečuje na základě následujících kritérií: rozsahy IP adres, protokoly nebo dokonce konkrétní porty. Každý filtr odpovídá konkrétní sadě podmínek; například pakety odeslané z konkrétní podsítě do konkrétního počítače na určitém cílovém portu. Pokud se síťové podmínky shodují s jedním nebo více z těchto filtrů, je seznam filtru aktivovaný. Každý filtr je definován v konkrétním seznamu filtrů. Filtry nelze sdílet mezi seznamy filtrů. Daný seznam filtrů však lze začlenit do několika zásad protokolu IPsec.

• Akce filtru: Metoda zabezpečení definuje sadu algoritmů zabezpečení, protokolů a klíče, které počítač nabízí během vyjednávání IKE. Akce filtru jsou seznamy metod zabezpečení, které jsou seřazené v pořadí podle priority. Když počítač vyjedná relaci protokolu IPsec, přijme nebo pošle návrhy na základě nastavení zabezpečení uloženého v seznamu akcí filtru.

• Pravidla zabezpečení: Pravidla určují, jak a kdy zásada IPsec chrání komunikaci. K vytvoření pravidla IPsec pro sestavení připojení IPsec používá seznam filtrů a akce filtru . Každá zásada může mít jedno nebo více pravidel, z nichž každá může být aktivní současně. Každé pravidlo obsahuje seznam filtrů IP adres a kolekci akcí zabezpečení, které se provádějí při shodě s tímto seznamem filtrů:

  • Akce filtru IP
  • Metody ověřování
  • Nastavení tunelu IP
  • Typy připojení

Než začnete

Ujistěte se, že splňujete následující požadavky:

• Musíte mít funkční konfiguraci služby Active Directory, kterou můžete použít k implementaci Zásady skupiny nastavení. Další informace o objektech zásad skupiny najdete v tématu Zásady skupiny objektů.

• Musí mít aktivní okruh ExpressRoute.

  • Informace o vytvoření okruhu ExpressRoute najdete v tématu vytvoření okruhu ExpressRoute.
  • Ověřte, jestli je okruh povolený vaším poskytovatelem připojení.
  • Ověřte, že máte pro váš okruh nakonfigurovaný privátní partnerský vztah Azure. Pokyny k směrování najdete v článku věnovaném konfiguraci směrování .
  • Ověřte, že máte virtuální síť a Brána virtuální sítě se vytvořila a kompletně zřídila. Postupujte podle pokynů a vytvořte bránu virtuální sítě pro ExpressRoute. Brána virtuální sítě pro ExpressRoute používá GatewayType "ExpressRoute", ne VPN.

• Brána virtuální sítě ExpressRoute musí být připojená k okruhu ExpressRoute. Další informace najdete v tématu připojení virtuální sítě k okruhu ExpressRoute.

• Ověřte, že jsou virtuální počítače Azure s Windows nasazené do virtuální sítě.

• Ověřte, jestli je mezi místními hostiteli a virtuálními počítači Azure připojení.

• Ověřte, že virtuální počítače Azure a místní hostitelé můžou k správnému překladu názvů použít DNS.

Pracovní postup

1. Vytvořte objekt zásad skupiny a přidružte ho k organizační jednotce.
2. Definujte akci filtru protokolu IPSec.
3. Definujte seznam filtru IPSec.
4. Vytvořte zásadu IPsec s pravidly zabezpečení.
5. Přiřaďte objekt zásad skupiny IPsec k organizační jednotce.

Příklady hodnot

• Název domény: ipsectest.com

• Organizační jednotka: IPSecOU

• Místní počítač se systémem Windows: Hostitel1

• Virtuální počítače Azure s Windows: VM1, VM2

1. vytvoření objektu zásad skupiny

1. Otevřete modul snap-in Správa Zásady skupiny a vytvořte nový objekt zásad skupiny propojený s organizační jednotkou. Pak vyhledejte organizační jednotku, do které bude objekt zásad skupiny propojený. V příkladu má organizační jednotka název IPSecOU.

   

2. V modulu snap-in Správa Zásady skupiny vyberte organizační jednotku a klikněte pravým tlačítkem myši. V rozevíracím seznamu vyberte vytvořit objekt zásad skupiny v této doméně a připojit ho sem...

   

3. Pojmenujte objekt zásad skupiny intuitivním názvem, abyste ho později mohli snadno najít. Vyberte OK a vytvořte a propojte objekt zásad skupiny.

   

2. povolení odkazu na objekt zásad skupiny

Pokud chcete objekt zásad skupiny použít pro organizační jednotku, nesmí být objekt zásad skupiny propojený jenom s organizační jednotkou, musí ale taky být povolený odkaz.

1. Vyhledejte objekt zásad skupiny, který jste vytvořili, klikněte pravým tlačítkem myši a v rozevíracím seznamu vyberte možnost Upravit .

2. Pokud chcete objekt zásad skupiny použít pro organizační jednotku, vyberte odkaz povoleno.

   

3. Definujte akci filtru IP.

1. V rozevíracím seznamu klikněte pravým tlačítkem na zásady zabezpečení protokolu IP v Active Directory a pak vyberte Spravovat seznamy filtrů IP a akce filtru....

   

2. Na kartě Spravovat akce filtru vyberte Přidat.

   

3. V Průvodci akcí filtru zabezpečení protokolu IP vyberte možnost Další.

   [![17]][17]

4. Pojmenujte tento filtr intuitivní název, abyste ho mohli najít později. V tomto příkladu má akce filtru název myEncryption. Můžete také přidat popis. Pak vyberte Další.

   [![18]][18]

5. Vyjednávání zabezpečení umožňuje definovat chování, pokud nelze protokol IPSec vytvořit s jiným počítačem. Vyberte Vyjednat zabezpečení a pak vyberte Další.

   [![19]][19]

6. Na stránce komunikace s počítači, které nepodporují protokol IPSec vyberte možnost Nepovolit nezabezpečenou komunikaci a pak vyberte možnost Další.

   [![20]][20]

7. Na stránce provoz a zabezpečení protokolu IP vyberte možnost vlastní a pak vyberte nastavení....

   [![21]][21]

8. Na stránce vlastní nastavení metody zabezpečení vyberte možnost Integrita dat a šifrování (ESP): SHA1, 3DES. Pak vyberte OK.

   [![22]][22]

9. Na stránce Správa akcí filtru vidíte, že byl filtr myEncryption úspěšně přidán. Vyberte Zavřít.

   [![23]][23]

4. definování seznamu filtrů IP adres

Vytvořte seznam filtrů, který určuje šifrovaný provoz HTTP s cílovým portem 8080.

1. K získání informací o tom, které typy přenosů musí být šifrované, použijte seznam filtru IP adres. Na kartě Správa seznamů filtrů IP vyberte Přidat a přidejte nový seznam filtrů IP.

   [![24]][24]

2. Do pole Název: zadejte název vašeho seznamu filtru IP adres. Například Azure-premises-HTTP8080. Pak vyberte Přidat.

   [![25]][25]

3. Na stránce s popisem filtru IP a zrcadlenou vlastností vyberte možnost Zrcadleno. Zrcadlení nastavení odpovídá paketům v obou směrech, což umožňuje obousměrnou komunikaci. Pak vyberte Další.

   [![26]][26]

4. Na stránce Zdroj přenosu IP adres v rozevíracím seznamu zdrojová adresa: vyberte konkrétní IP adresu nebo podsíť.

   [![27]][27]

5. Zadejte IP adresu nebo podsíť zdrojové adresy IP a potom vyberte Další.

   [![28]][28]

6. Zadejte cílovou adresu: IP adresa nebo podsíť. Pak vyberte Další.

   [![29]][29]

7. Na stránce typ protokolu IP vyberte TCP. Pak vyberte Další.

   [![30]][30]

8. Na stránce port protokolu IP vyberte libovolný port a na tento port:. Do textového pole zadejte 8080 . Tato nastavení určují pouze přenosy HTTP na cílovém portu 8080 budou zašifrovány. Pak vyberte Další.

   [![31]][31]

9. Zobrazit seznam filtrů IP adres. Konfigurace seznamu filtru IP adres Azure-HTTP8080 spustí šifrování pro veškerý provoz, který odpovídá následujícím kritériím:

   • Libovolná zdrojová adresa v 10.0.1.0/24 (Azure podsíť subnet2)
   • Libovolná cílová adresa v 10.2.27.0/25 (místní podsíť)
   • Protokol TCP
   • Cílový port 8080

   [![32]][32]

5. Upravte seznam filtru IP adres.

Pokud chcete zašifrovat stejný typ provozu z místního hostitele na virtuální počítač Azure, budete potřebovat druhý filtr IP adres. Postupujte podle kroků, které jste použili k nastavení prvního filtru IP a vytvořte nový filtr IP adres. Jediným rozdílem je zdrojová podsíť a cílová podsíť.

1. Pokud chcete přidat nový filtr IP adres do seznamu filtru IP adres, vyberte Upravit.

   [![33]][33]

2. Na stránce seznam filtrů IP adres vyberte Přidat.

   [![34]][34]

3. Vytvořte druhý filtr IP adres pomocí nastavení v následujícím příkladu:

   [![35]][35]

4. Po vytvoření druhého filtru IP adres bude seznam filtru IP vypadat takto:

   [![36]][36]

Pokud se vyžaduje šifrování mezi místním umístěním a podsítí Azure k ochraně aplikace. Místo úprav stávajícího seznamu filtrů IP adres můžete přidat nový seznam filtrů IP adres. Přidružení dvou nebo více seznamů filtrů IP ke stejné zásadě protokolu IPsec vám poskytne větší flexibilitu. Seznam filtru IP adres můžete upravit nebo odebrat bez ovlivnění dalších seznamů filtrů IP adres.

6. vytvoření zásady zabezpečení protokolu IPsec

Vytvořte zásadu IPsec s pravidly zabezpečení.

1. Vyberte zásady ipSecurity ve službě Active Directory , která je přidružená k organizační jednotce. Klikněte pravým tlačítkem a vyberte vytvořit zásadu zabezpečení protokolu IP.

   [![37]][37]

2. Pojmenujte zásady zabezpečení. Například zásada – Azure-místní. Pak vyberte Další.

   [![38]][38]

3. Vyberte Další bez zaškrtnutí políčka.

   [![39]][39]

4. Ověřte, že je zaškrtnuté políčko Upravit vlastnosti , a pak vyberte Dokončit.

   [![40]][40]

7. upravte zásady zabezpečení IPsec.

Přidejte do zásady protokolu IPsec seznam filtrů IP a akci filtru , kterou jste předtím nakonfigurovali.

1. Na kartě pravidla vlastností zásad protokolu HTTP vyberte Přidat.

   [![41]][41]

2. Na úvodní stránce vyberte Další.

   [![42]][42]

3. Pravidlo nabízí možnost definovat režim protokolu IPsec: režim tunelového propojení nebo Přenosový režim.

   • V režimu tunelového propojení je původní paket zapouzdřený sadou hlaviček protokolu IP. Režim tunelového propojení chrání interní informace o směrování tím, že šifruje hlavičku protokolu IP původního paketu. Režim tunelového propojení je v rámci scénářů sítě Site-to-Site VPN široce implementován mezi bránami. Režim tunelového propojení je ve většině případů, který se používá pro komplexní šifrování mezi hostiteli.

   • Transportní režim šifruje jenom datovou část a přípojné vozidlo ESP; Hlavička protokolu IP původního paketu není šifrovaná. V transportního režimu se IP adresa a cíl IP paketů nemění.

   Vyberte Toto pravidlo neurčuje tunel a pak vyberte Další.

   [![43]][43]

4. Typ sítě definuje, které síťové připojení přidruží k zásadám zabezpečení. Vyberte všechna síťová připojení a pak vyberte Další.

   [![44]][44]

5. Vyberte seznam filtrů IP, který jste předtím vytvořili, Azure-premises-HTTP8080, a pak vyberte Další.

   [![45]][45]

6. Vyberte existující akci filtru myEncryption , kterou jste vytvořili dříve.

   [![46]][46]

7. Windows podporuje čtyři různé typy ověřování: Kerberos, certifikáty, NTLMv2 a předsdílený klíč. Vzhledem k tomu, že pracujete s hostiteli připojeným k doméně, vyberte možnost výchozí nastavení služby Active Directory (protokol Kerberos V5) a pak vyberte možnost Další.

   [![47]][47]

8. Nové zásady vytvoří pravidlo zabezpečení: Azure-premises-HTTP8080. Vyberte OK.

   [![48]][48]

Zásada IPsec vyžaduje, aby všechna připojení HTTP na cílovém portu 8080 používala režim přenosu IPsec. Vzhledem k tomu, že HTTP je protokol nešifrovaného textu, který má povolenou zásadu zabezpečení, zajišťuje, aby při přenosu prostřednictvím privátního partnerského vztahu ExpressRoute byla data zašifrovaná. Zásady protokolu IPsec pro službu Active Directory jsou složitější, aby bylo možné konfigurovat bránu Windows Firewall s pokročilým zabezpečením. Umožňuje ale další přizpůsobení připojení IPsec.

8. Přiřaďte objekt zásad skupiny IPsec k organizační jednotce.

1. Podívejte se na zásadu. Zásady skupiny zabezpečení jsou definované, ale ještě nejsou přiřazené.

   [![49]][49]

2. Zásadu skupiny zabezpečení přiřadíte IPSecOU organizační jednotce tak, že kliknete pravým tlačítkem na zásadu zabezpečení a zvolíte přiřadit. Každý počítač THT patří do organizační jednotky, bude mít přiřazené zásady skupiny zabezpečení.

   [![50]][50]

Ověřit šifrování provozu

Pokud chcete zjistit objekt zásad skupiny, který je v organizační jednotce použit, nainstalujte službu IIS na všechny virtuální počítače Azure a v Hostitel1. Každá služba IIS je přizpůsobená tak, aby odpovídala požadavkům HTTP na portu 8080. Chcete-li ověřit šifrování, můžete na všech počítačích v organizační jednotce nainstalovat síťový Sniffer (například Wireshark). PowerShellový skript funguje jako klient HTTP, který generuje požadavky HTTP na portu 8080:

$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000

$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds

Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null

# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}

Následující záznam v síti zobrazuje výsledky pro místní Hostitel1 s filtrováním protokolu ESP, aby odpovídal pouze zašifrovanému provozu:

[![51]][51]

Pokud spustíte PowerShellový skript místně (HTTP Client), zachytávání sítě na virtuálním počítači Azure zobrazuje podobné trasování.

Další kroky

Další informace o ExpressRoute najdete v tématu ExpressRoute – Nejčastější dotazy.

[]: ./media/expressroute-howto-ipsec-transport-private-windows/action-wizard.png "Průvodce akcemi" 17 [18]: ./media/expressroute-howto-ipsec-transport-private-windows/filter-action-name.png "název akce filtru" [19]: ./media/expressroute-howto-ipsec-transport-private-windows/filter-action.png "akce filtru" [20]: ./media/expressroute-howto-ipsec-transport-private-windows/filter-action-no-ipsec.png "Určení chování je nezabezpečené připojení navázáno" . [21]: ./media/expressroute-howto-ipsec-transport-private-windows/security-method.png "mechanismus zabezpečení" [22]: ./media/expressroute-howto-ipsec-transport-private-windows/custom-security-method.png "vlastní metoda zabezpečení" [23]: ./media/expressroute-howto-ipsec-transport-private-windows/filter-actions-list.png "seznam akcí filtru" [24]: ./media/expressroute-howto-ipsec-transport-private-windows/add-new-ip-filter.png "Přidání nového seznamu filtru IP adres" [25]: ./media/expressroute-howto-ipsec-transport-private-windows/ip-filter-http-traffic.png "Přidání provozu http do filtru IP" [26]: ./media/expressroute-howto-ipsec-transport-private-windows/match-both-direction.png "paketů v obou směrech" [27]: ./media/expressroute-howto-ipsec-transport-private-windows/source-address.png "výběr zdrojové podsítě" [28]: ./media/expressroute-howto-ipsec-transport-private-windows/source-network.png "zdrojová síť" [29]: ./media/expressroute-howto-ipsec-transport-private-windows/destination-network.png "cílových sítí" [30]: ./media/expressroute-howto-ipsec-transport-private-windows/protocol.png "protokol" [31]: ./media/expressroute-howto-ipsec-transport-private-windows/source-port-and-destination-port.png "zdrojový port a cílový port" []: ./media/expressroute-howto-ipsec-transport-private-windows/ip-filter-list.png "seznam filtru" 32 [33]: ./media/expressroute-howto-ipsec-transport-private-windows/ip-filter-for-http.png "seznam filtrů IP adres s přenosy HTTP" [34]: ./media/expressroute-howto-ipsec-transport-private-windows/ip-filter-add-second-entry.png "Přidání druhého filtru IP adres" []: ./media/expressroute-howto-ipsec-transport-private-windows/ip-filter-second-entry.png "seznam filtru IP adres 35 – sekundová položka" []: ./media/expressroute-howto-ipsec-transport-private-windows/ip-filter-list-2entries.png "seznam filtru IP adres 36 – sekundová položka" [37]: ./media/expressroute-howto-ipsec-transport-private-windows/create-ip-security-policy.png "Vytvoření zásady zabezpečení protokolu IP" [38]: ./media/expressroute-howto-ipsec-transport-private-windows/ipsec-policy-name.png "název zásady protokolu IPSec" []: ./media/expressroute-howto-ipsec-transport-private-windows/security-policy-wizard.png "Průvodce zásadami protokolu IPSec" 39 [40]: ./media/expressroute-howto-ipsec-transport-private-windows/edit-security-policy.png "úpravy zásady protokolu IPSec" [41]: ./media/expressroute-howto-ipsec-transport-private-windows/add-new-rule.png "Přidání nového pravidla zabezpečení do zásady protokolu IPSec" [42]: ./media/expressroute-howto-ipsec-transport-private-windows/create-security-rule.png "vytvořit nové pravidlo zabezpečení" []: ./media/expressroute-howto-ipsec-transport-private-windows/transport-mode.png "přenosový režim" 43 []: ./media/expressroute-howto-ipsec-transport-private-windows/network-type.png "typ sítě" 44 [45]: ./media/expressroute-howto-ipsec-transport-private-windows/selection-filter-list.png "Výběr existujícího seznamu filtrů IP adres" [46]: ./media/expressroute-howto-ipsec-transport-private-windows/selection-filter-action.png "Výběr stávající akce filtru" [47]: ./media/expressroute-howto-ipsec-transport-private-windows/authentication-method.png "Výběr metody ověřování" [48]: ./media/expressroute-howto-ipsec-transport-private-windows/security-policy-completed.png "Konec procesu vytváření zásad zabezpečení" [49]: ./media/expressroute-howto-ipsec-transport-private-windows/gpo-not-assigned.png "zásada IPSec propojená s objektem zásad skupiny, ale není přiřazeno" [50]: ./media/expressroute-howto-ipsec-transport-private-windows/gpo-assigned.png "zásada IPSec přiřazená k objektu zásad skupiny" [51]: ./media/expressroute-howto-ipsec-transport-private-windows/encrypted-traffic.png "zachycení přenosu zašifrovaného protokolem IPSec"