Konfigurera IPsec-transportläge för privat ExpressRoute-peering

Den här artikeln hjälper dig att skapa IPsec-tunnlar i transportläge över privat ExpressRoute-peering. Tunneln skapas mellan virtuella Azure-datorer som kör Windows och lokala Windows-värdar. Stegen i den här artikeln för den här konfigurationen använder grupprincipobjekt. Även om det är möjligt att skapa den här konfigurationen utan att använda organisationsenheter (OUs) och grupprincipobjekt (GPO: er). Kombinationen av organisationsenheter och grupprincipobjekt förenklar kontrollen av dina säkerhetsprinciper och gör att du snabbt kan skala upp. Stegen i den här artikeln förutsätter att du redan har en Active Directory-konfiguration och du är bekant med att använda organisationsenheter och grupprincipobjekt.

Om den här konfigurationen

Konfigurationen i följande steg använder ett enda virtuellt Azure-nätverk (VNet) med privat ExpressRoute-peering. Den här konfigurationen kan dock sträcka sig över andra virtuella Azure-nätverk och lokala nätverk. Den här artikeln hjälper dig att definiera en IPsec-krypteringsprincip som du kan tillämpa på en grupp virtuella Azure-datorer eller lokala värdar. Dessa virtuella Azure-datorer eller lokala värdar ingår i samma organisationsenhet. Du konfigurerar kryptering mellan de virtuella Azure-datorerna (vm1 och vm2) och den lokala host1 endast för HTTP-trafik med målport 8080. Olika typer av IPsec-principer kan skapas baserat på dina krav.

Arbeta med organisationsenheter

Den säkerhetsprincip som är associerad med en organisationsenhet skickas till datorerna via grupprincipobjektet. Några fördelar med att använda organisationsenheter i stället för att tillämpa principer på en enda värd är:

• Att associera en princip med en organisationsenhet garanterar att datorer som tillhör samma organisationsenhet får samma principer.
• Om du ändrar den säkerhetsprincip som är associerad med organisationsenheten tillämpas ändringarna på alla värdar i organisationsenheten.

Diagram

Följande diagram visar sammankopplingen och det tilldelade IP-adressutrymmet. De virtuella Azure-datorerna och den lokala värden kör Windows 2016. De virtuella Azure-datorerna och den lokala värden1 ingår i samma domän. De virtuella Azure-datorerna och de lokala värdarna kan matcha namn korrekt med hjälp av DNS.

Det här diagrammet visar IPsec-tunnlarna under överföring i privat ExpressRoute-peering.

Arbeta med IPsec-princip

I Windows associeras kryptering med IPsec-princip. IPsec-principen avgör vilken IP-trafik som skyddas och vilken säkerhetsmekanism som tillämpas på IP-paketen. IPSec-principer består av följande objekt: Filterlistor, Filteråtgärder och Säkerhetsregler.

När du konfigurerar IPsec-princip är det viktigt att förstå följande IPsec-principterminologi:

• IPsec-princip: En samling regler. Endast en princip kan vara aktiv ("tilldelad") vid en viss tidpunkt. Varje princip kan ha en eller flera regler, som alla kan vara aktiva samtidigt. En dator kan bara tilldelas en aktiv IPsec-princip vid en viss tidpunkt. I IPsec-principen kan du dock definiera flera åtgärder som kan vidtas i olika situationer. Varje uppsättning IPsec-regler är associerad med en filterlista som påverkar den typ av nätverkstrafik som regeln gäller för.

• Filterlistor: Filterlistor är paket med ett eller flera filter. En lista kan innehålla flera filter. Ett filter definierar om kommunikationen blockeras, tillåts eller skyddas baserat på följande kriterier: IP-adressintervall, protokoll eller till och med specifika portar. Varje filter matchar en viss uppsättning villkor. Till exempel paket som skickas från ett visst undernät till en viss dator på en specifik målport. När nätverksvillkoren matchar ett eller flera av dessa filter aktiveras filterlistan. Varje filter definieras i en specifik filterlista. Filter kan inte delas mellan filterlistor. En viss filterlista kan dock införlivas i flera IPsec-principer.

• Filteråtgärder: En säkerhetsmetod definierar en uppsättning säkerhetsalgoritmer, protokoll och viktiga erbjudanden för en dator under IKE-förhandlingarna. Filteråtgärder är listor över säkerhetsmetoder, rangordnade i prioritetsordning. När en dator förhandlar om en IPsec-session godkänner eller skickar den förslag baserat på säkerhetsinställningen som lagras i listan med filteråtgärder.

• Säkerhetsregler: Regler styr hur och när en IPsec-princip skyddar kommunikationen. Den använder filterliste - och filteråtgärder för att skapa en IPsec-regel för att skapa IPsec-anslutningen. Varje princip kan ha en eller flera regler, som alla kan vara aktiva samtidigt. Varje regel innehåller en lista över IP-filter och en samling säkerhetsåtgärder som utförs vid en matchning med filterlistan:

  • IP-filteråtgärder
  • Autentiseringsmetoder
  • IP-tunnelinställningar
  • Anslutningstyper

Innan du börjar

Kontrollera att du uppfyller följande krav:

• Du måste ha en fungerande Active Directory-konfiguration som du kan använda för att implementera grupprincip inställningar. Mer information om grupprincipobjekt finns i grupprincip-objekt.

• Du måste ha en aktiv ExpressRoute-krets.

  • Information om hur du skapar en ExpressRoute-krets finns i Skapa en ExpressRoute-krets.
  • Kontrollera att kretsen aktiveras av anslutningsleverantören.
  • Kontrollera att azure-privat peering har konfigurerats för din krets. Se artikeln konfigurera routning för routningsinstruktioner.
  • Kontrollera att du har ett virtuellt nätverk och en virtuell nätverksgateway skapad och helt etablerad. Följ anvisningarna för att skapa en virtuell nätverksgateway för ExpressRoute. En virtuell nätverksgateway för ExpressRoute använder GatewayType ExpressRoute, inte VPN.

• Den virtuella ExpressRoute-nätverksgatewayen måste vara ansluten till ExpressRoute-kretsen. Mer information finns i Ansluta ett virtuellt nätverk till en ExpressRoute-krets.

• Kontrollera att de virtuella Azure Windows-datorerna distribueras till det virtuella nätverket.

• Kontrollera att det finns en anslutning mellan de lokala värdarna och de virtuella Azure-datorerna.

• Kontrollera att de virtuella Azure Windows-datorerna och de lokala värdarna kan använda DNS för att matcha namn korrekt.

Arbetsflöde

1. Skapa ett grupprincipobjekt och associera det med organisationsenheten.
2. Definiera en IPsec-filteråtgärd.
3. Definiera en IPsec-filterlista.
4. Skapa en IPsec-princip med säkerhetsregler.
5. Tilldela IPsec GPO till organisationsenheten.

Exempelvärden

• Domännamn: ipsectest.com

• OU: IPSecOU

• Lokal Windows-dator: host1

• Virtuella Azure Windows-datorer: vm1, vm2

1. Skapa ett grupprincipobjekt

1. Skapa ett nytt GPO som är länkat till en organisationsenhet genom att öppna snapin-modulen grupprincip Management. Leta sedan upp den organisationsenhet som grupprincipobjektet länkas till. I exemplet heter organisationsenheten IPSecOU.

   

2. I snapin-modulen grupprincip Management väljer du organisationsenheten och högerklickar. I listrutan väljer du "Skapa ett grupprincipobjekt i den här domänen och Länka det här...".

   

3. Ge grupprincipobjektet ett intuitivt namn så att du enkelt kan hitta det senare. Välj OK för att skapa och länka grupprincipobjektet.

   

2. Aktivera GPO-länken

För att tillämpa grupprincipobjektet på organisationsenheten måste grupprincipobjektet inte bara kopplas till organisationsenheten, utan länken måste också aktiveras.

1. Leta upp grupprincipobjektet som du skapade, högerklicka och välj Redigera i listrutan.

2. Om du vill tillämpa grupprincipobjektet på organisationsenheten väljer du Länkaktiverad.

   

3. Definiera IP-filteråtgärden

1. Högerklicka på IP-säkerhetsprincip i Active Directory i listrutan och välj sedan Hantera IP-filterlistor och filteråtgärder....

   

2. På fliken "Hantera filteråtgärder" väljer du Lägg till.

   

3. I guiden Ip-säkerhetsfilteråtgärd väljer du Nästa.

   

4. Ge filteråtgärden ett intuitivt namn så att du kan hitta den senare. I det här exemplet heter filteråtgärden myEncryption. Du kan också lägga till en beskrivning. Välj Nästa.

   

5. Med förhandlad säkerhet kan du definiera beteendet om IPsec inte kan upprättas med en annan dator. Välj Förhandla om säkerhet och välj sedan Nästa.

   

6. På sidan Kommunicera med datorer som inte stöder IPsec väljer du Tillåt inte oskyddad kommunikation och väljer sedan Nästa.

   

7. På sidan IP-trafik och säkerhet väljer du Anpassad och sedan Inställningar....

   

8. På sidan Inställningar för anpassad säkerhetsmetod väljer du Dataintegritet och kryptering (ESP): SHA1, 3DES. Välj sedan OK.

   

9. På sidan Hantera filteråtgärder kan du se att filtret myEncryption har lagts till. Välj Stäng.

   

4. Definiera en IP-filterlista

Skapa en filterlista som anger krypterad HTTP-trafik med målport 8080.

1. Om du vill kvalificera vilka typer av trafik som måste krypteras använder du en IP-filterlista. På fliken Hantera IP-filterlistor väljer du Lägg till för att lägga till en ny LISTA över IP-filter.

   

2. I fältet Namn: anger du ett namn för din IP-filterlista. Till exempel azure-onpremises-HTTP8080. Välj sedan Lägg till.

   

3. På sidan IP-filterbeskrivning och speglingsegenskap väljer du Speglad. Den speglade inställningen matchar paket som går i båda riktningarna, vilket möjliggör dubbelriktad kommunikation. Välj sedan Nästa.

   

4. På sidan IP-trafikkälla går du till listrutan Källadress: och väljer En specifik IP-adress eller undernät.

   

5. Ange källadressens IP-adress eller undernät: för IP-trafiken och välj sedan Nästa.

   

6. Ange måladressen: IP-adress eller undernät. Välj Nästa.

   

7. På sidan IP-protokolltyp väljer du TCP. Välj Nästa.

   

8. På sidan IP-protokollport väljer du Från valfri port och Till den här porten:. Skriv 8080 i textrutan. De här inställningarna anger att endast HTTP-trafiken på målporten 8080 krypteras. Välj Nästa.

   

9. Visa IP-filterlistan. Konfigurationen av IP-filterlistan azure-onpremises-HTTP8080 utlöser kryptering för all trafik som matchar följande villkor:

   • Alla källadresser i 10.0.1.0/24 (Azure-undernät2)
   • Valfri måladress i 10.2.27.0/25 (lokalt undernät)
   • TCP-protokoll
   • Målport 8080

   

5. Redigera IP-filterlistan

För att kryptera samma typ av trafik från den lokala värden till den virtuella Azure-datorn behöver du ett andra IP-filter. Följ samma steg som du använde för att konfigurera det första IP-filtret och skapa ett nytt IP-filter. De enda skillnaderna är källundernätet och målundernätet.

1. Om du vill lägga till ett nytt IP-filter i IP-filterlistan väljer du Redigera.

   

2. På sidan IP-filterlista väljer du Lägg till.

   

3. Skapa ett andra IP-filter med inställningarna i följande exempel:

   

4. När du har skapat det andra IP-filtret ser listan över IP-filter ut så här:

   

Om kryptering krävs mellan en lokal plats och ett Azure-undernät för att skydda ett program. I stället för att ändra den befintliga IP-filterlistan kan du lägga till en ny IP-filterlista. Om du kopplar två eller flera IP-filterlistor till samma IPsec-princip kan du få mer flexibilitet. Du kan ändra eller ta bort en IP-filterlista utan att påverka de andra IP-filterlistorna.

6. Skapa en IPsec-säkerhetsprincip

Skapa en IPsec-princip med säkerhetsregler.

1. Välj de IPSecurity-principer i Active Directory som är associerade med organisationsenheten. Högerklicka och välj Skapa IP-säkerhetsprincip.

   

2. Namnge säkerhetsprincipen. Till exempel policy-azure-onpremises. Välj Nästa.

   

3. Välj Nästa utan att markera kryssrutan.

   

4. Kontrollera att kryssrutan Redigera egenskaper är markerad och välj sedan Slutför.

   

7. Redigera IPsec-säkerhetsprincipen

Lägg till ip-filterlistan och filteråtgärden som du konfigurerade tidigare i IPsec-principen.

1. På fliken Egenskaper för HTTP-princip väljer du Lägg till.

   

2. På sidan Välkommen klickar du på Nästa.

   

3. En regel ger möjlighet att definiera IPsec-läget: tunnelläge eller transportläge.

   • I tunnelläge kapslas det ursprungliga paketet in med en uppsättning IP-huvuden. Tunnelläget skyddar den interna routningsinformationen genom att kryptera IP-huvudet för det ursprungliga paketet. Tunnelläget implementeras i stor utsträckning mellan gatewayer i VPN-scenarier från plats till plats. Tunnelläget används i de flesta fall för kryptering från slutpunkt till slutpunkt mellan värdar.

   • Transportläget krypterar endast nyttolasten och ESP-släpet. IP-huvudet för det ursprungliga paketet är inte krypterat. I transportläge är IP-källan och IP-målet för paketen oförändrade.

   Välj Den här regeln anger ingen tunnel och väljer sedan Nästa.

   

4. Nätverkstyp definierar vilken nätverksanslutning som associeras med säkerhetsprincipen. Välj Alla nätverksanslutningar och välj sedan Nästa.

   

5. Välj den IP-filterlista som du skapade tidigare, azure-onpremises-HTTP8080, och välj sedan Nästa.

   

6. Välj den befintliga filteråtgärden myEncryption som du skapade tidigare.

   

7. Windows stöder fyra olika typer av autentiseringar: Kerberos, certifikat, NTLMv2 och i förväg delad nyckel. Eftersom vi arbetar med domänanslutna värdar väljer du Active Directory-standard (Kerberos V5-protokoll) och väljer sedan Nästa.

   

8. Den nya principen skapar säkerhetsregeln : azure-onpremises-HTTP8080. Välj OK.

   

IPsec-principen kräver att alla HTTP-anslutningar på målporten 8080 använder IPsec-transportläge. Eftersom HTTP är ett clear text-protokoll, där säkerhetsprincipen är aktiverad, ser till att data krypteras när de överförs via den privata ExpressRoute-peeringen. IPsec-principen för Active Directory är mer komplex att konfigurera än Windows-brandväggen med avancerad säkerhet. Det möjliggör dock mer anpassning av IPsec-anslutningen.

8. Tilldela IPsec GPO till organisationsenheten

1. Visa principen. Säkerhetsgruppens princip har definierats, men har ännu inte tilldelats.

   

2. Om du vill tilldela säkerhetsgruppsprincipen till OU IPSecOU högerklickar du på säkerhetsprincipen och väljer Tilldela. Varje dator som tillhör organisationsenheten har tilldelats säkerhetsgruppens princip.

   

Kontrollera trafikkryptering

Om du vill kolla in det krypterings-GPO som tillämpas på organisationsenheten installerar du IIS på alla virtuella Azure-datorer och i host1. Varje IIS är anpassad för att svara på HTTP-begäranden på port 8080. För att verifiera krypteringen kan du installera en nätverkssniffare (till exempel Wireshark) på alla datorer i organisationsenheten. Ett PowerShell-skript fungerar som en HTTP-klient för att generera HTTP-begäranden på port 8080:

$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000

$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds

Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null

# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}

Följande nätverksfångst visar resultatet för lokal värd1 med visningsfilter ESP för att endast matcha den krypterade trafiken:

Om du kör PowerShell-skriptet lokalt (HTTP-klienten) visar nätverksavbildningen på den virtuella Azure-datorn en liknande spårning.

Nästa steg

Mer information om ExpressRoute finns i Vanliga frågor och svar om ExpressRoute.