Ipseccmd

Ipseccmd

Служит для настройки политик IPSec (Internet Protocol Security) в службе каталогов либо в локальном или удаленном реестре. Ipseccmd является альтернативой для командной строки оснастке консоли MMC «Политики безопасности IP». Ipseccmd имеет три режима: динамический, статический и режим запроса.

Динамический режим ipseccmd

Динамический режим Ipseccmd служит для добавления анонимных правил в имеющуюся политику безопасности IPSec путем добавления их в базу данных политик безопасности IPSec. Добавленные правила будут присутствовать даже после перезапуска службы «Службы IPSEC». Преимуществом использования динамического режима является сосуществование добавляемых правил с политикой IPSec домена. По умолчанию используется динамический режим Ipseccmd.

Синтаксис

  • Для добавления правила используется следующий синтаксис:
  • ipseccmd [\\имя_компьютера-f список_фильтров [ -n список_политик_согласования]  [-t адрес_туннеля] [ -a список_способов_пров_подлинности] [-1s список_методов_безопасности] [ -1k параметры_смены_ключа]  [-1p] [-1f  список_фильтров_осн_режима] [-1e срок_действия] [-soft]  [ -confirm] [{-dialup | -lan}]

  • Для удаления всех динамических политик используется следующий синтаксис:
  • ipseccmd -u

Параметры

\\имя_компьютера
Имя локального или удаленного компьютера, на который требуется добавить правило.
-f список_фильтров
Необходим в первом случае. Одно или несколько определений фильтра, разделенных пробелами, для быстрого режима сопоставления безопасности. Каждое определение фильтра включает набор сетевого трафика, к которому относится это правило.
-n список_политик_согласования
Один или несколько методов безопасности, разделенных пробелами, для защиты трафика, определенного списком фильтров.
-t адрес_туннеля
Конечная точка туннеля для режима туннеля, заданная как IP-адрес или имя в системе DNS.
-a список_способов_пров_подлинности
Один или несколько способов проверки подлинности, разделенных пробелами.
-1s список_методов_безопасности
Один или несколько методов обеспечения безопасности при обмене ключами, разделенных пробелами.
-1k параметры_смены_ключа
Параметры смены ключа в основном режиме сопоставления безопасности.
-1p
Включение основного ключа безопасной пересылки.
-1f список_фильтров_осн_режима
Одно или несколько определений фильтров для сопоставлений безопасности основного режима, разделенных пробелами.
-1e срок_действия
Срок действия мягких сопоставлений безопасности в секундах.
-soft
Включение мягких сопоставлений безопасности.
-confirm
Запрос подтверждения перед добавлением правила или политики.
{-dialup | -lan}
Применение правила только к подключениям удаленного доступа и подключениям через телефон либо к подключениям через локальную сеть.
-u
Необходим во втором случае. Удаление всех динамических правил.
/?
Отображение справки в командной строке.

Заметки

  • Команду Ipseccmd нельзя использовать для настройки правил на компьютерах, работающих под управлением Windows 2000.
  • Если не задан параметр имя_компьютера, правило будет применено к локальному компьютеру.
  • Если используется параметр имя_компьютера, его необходимо задавать перед всеми остальными параметрами, а также обладать правами администратора на компьютере, в политику которого требуется добавить правило.
  • Для параметра -f определение фильтра представляет собой один или несколько фильтров, разделенных пробелами и представленных в следующем формате:
  • исходный_адрес/исходная_маска:исходный_порт =конечный_адрес/конечная_маска: конечный_порт:протокол

    • Значения исходная_маска, исходный_порт, конечная_маска и конечный_порт являются необязательными. Если они не указаны, в фильтре будет использована маска 255.255.255.255 и все порты.
    • Значение протокол является необязательным. Если оно не указано, в фильтре будут использованы все протоколы. Если протокол задан, необходимо также задать порт либо поставить перед протоколом два двоеточия (::). (смотрите первый пример для динамического режима.) Протокол должен быть последним элементом фильтра. Можно использовать следующие обозначения протоколов: ICMP, UDP, RAW или TCP.
    • Заменяя знак «равно» (=) знаком «плюс» (+), можно создавать отраженные фильтры.
    • Значения исходный_адрес/исходная_маска или конечный_адрес/конечная_маска можно заменять значениями из следующей таблицы.


    • ЗначениеОписание
      0Локальный адрес или локальные адреса
      *Любой адрес
      DNS-имя DNS-имя домена. Если DNS-имени сопоставлено несколько адресов, оно не учитывается.
      Код GUID Глобальный уникальный идентификатор (GUID) интерфейса локальной сети в форме {12345678-1234-1234-1234-123456789ABC}. Задание кода GUID не поддерживается при использовании параметра -n в статическом режиме.


    • Задав определение фильтра default, можно включить правило отклика по умолчанию.
    • Разрешающий фильтр можно задать, заключив определение фильтра в скобки. Блокирующий фильтр можно задать, заключив определение фильтра в квадратные скобки ([ ]).
    • Если для адресов Интернета используются маски подсети на основе классов (маски подсети, определенные границами октетов), для задания масок подсети можно использовать подстановочные знаки. Например, 10.*.*.* является тем же, что и 10.0.0.0/255.0.0.0, а 10.92.*.* тем же, что и 10.92.0.0/255.255.0.0.

    Примеры фильтров

    Чтобы создать отраженные фильтры для фильтрации TCP-трафика между Computer1 и Computer2, введите:



    Computer1+Computer2::TCP


    Чтобы создать фильтр для всего TCP-трафика из подсети 172.31.0.0/255.255.0.0, порт 80, в подсеть 10.0.0.0/255.0.0.0, порт 80, введите:



    172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP


    Чтобы создать отраженный фильтр для передачи трафика между локальным IP-адресом и IP-адресом 10.2.1.1, введите:



    (0+10.2.1.1)


  • Для параметра -n одна или несколько политик согласования разделяются пробелами и задаются в одной из следующих форм:
    • esp[алг_шифрования, алг_пров_подлинности]смена_ключаPFS[группа]
    • ah[алг_хеширования]
    • ah[алг_хеширования]+esp[алг_шифрования,алг_пров_подлинности]

    где алг_шифрования может иметь значение none, des или 3des, алг_пров_подлинности может иметь значение none, md5 или sha, а алг_хеширования может иметь значение md5 или sha.

    • Конфигурация esp[none,none] не поддерживается.
    • Параметр sha соответствует алгоритму хеширования SHA1.
    • Параметр смена_ключа необязателен, и он задает количество килобайт (на что указывает буква K после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в быстром режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в быстром режиме сопоставления безопасности сменялся через каждый час и через каждые 5 мегабайт данных, введите:
    • 3600S/5000K

    • Параметр PFS является необязательным, он включает сеансовые циклы безопасной пересылки. По умолчанию сеансовые циклы безопасной пересылки отключены
    • Параметр группа является необязательным, он включает группу Диффи-Хелмана для сеансовых циклов безопасной пересылки. Для низкой группы (1) Диффи-Хелмана следует задавать значение PFS1 или P1. Для средней группы (2) Диффи-Хелмана следует задавать значение PFS2 или P2. По умолчанию значение группы сеансовых циклов безопасной пересылки берется из текущих параметров основного режима.
    • Если не заданы политики согласования, по умолчанию используются следующие политики согласования:
      • esp[3des,sha]
      • esp[3des,md5]
      • esp[des,sha]
      • esp[des,md5]
  • Если параметр -t не задан, используется режим транспорта IPSec.
  • Для параметра -a один или несколько способом проверки подлинности разделяются пробелами и задаются в одной из следующих форм:
    • preshare:"строка_общего_ключа"
    • kerberos
    • cert:"центр_серт"

    Параметр строка_общего_ключа задает строку знаков общего ключа. Параметр центр_серт задает отличительное имя сертификата, отображаемое в окне оснастки «Политики безопасности IP», когда этот сертификат выбран в качестве способа проверки подлинности для правила. Регистр в значениях параметров строка_общего_ключа и центр_серт имеет значение. Название способа можно сокращать, указывая только первую букву: p, k или c. Если параметр -a не задан, по умолчанию используется способ проверки подлинности Kerberos.

  • Для параметра -1s один или несколько методов безопасности смены ключа разделяются пробелами и задаются в следующем формате:
  • алг_шифрования-алг_хеширования-номер_группы

    где алг_шифрования может иметь значение des или 3des, алг_хеширования может иметь значение md5 или sha, а номер_группы может иметь значение 1 для низкой (1) группы Диффи-Хелмана или 2 для средней (2) группы Диффи-Хелмана. Если параметр -1s не задан, по умолчанию используются методы безопасности смены ключа 3des-sha-2, 3des-md5-2, des-sha-1 и des-md5-1.

  • Для параметра -1k можно задать количество сопоставлений безопасности быстрого режима (на что указывает буква Q после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в основном режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в основном режиме сопоставления безопасности сменялся через каждые 10 сопоставлений безопасности быстрого режима и через каждый час, введите:
  • 10Q/3600S

    Если параметр -1k не задан, по умолчанию смена ключа для основного режима происходит через неограниченное количество сопоставлений безопасности быстрого режима и через каждые 480 минут.

  • По умолчанию основной ключ безопасной пересылки отключен.
  • Для параметра -1f синтаксис задания определения фильтра основного режима тот же, что и для параметра -f, за исключением того, что нельзя задавать разрешающие фильтры, блокирующие фильтры, порты и протоколы. Если параметр -1f не задан, фильтры основного режима создаются автоматически на основе фильтров быстрого режима.
  • Если параметр -1e не задан, срок действия для мягких сопоставлений безопасности равен 300 секунд. Однако, если не задан параметр -soft, мягкие сопоставления безопасности отключены.
  • Подтверждение доступно только в динамическом режиме.
  • Если не задан ни параметр -dialup, ни параметр -lan, правило будет применено ко всем адаптерам.

Примеры

Чтобы создать правило, использующее заголовок проверки подлинности (AH) с хешированием MD5 для всего входящего и исходящего трафика локального компьютера, введите:



ipseccmd -f 0+* -n ah[md5]


Чтобы создать правило туннеля для трафика с адресов 10.2.1.1 и 10.2.1.13 с использованием конечной точки туннеля 10.2.1.13, режимом туннеля AH с использованием алгоритма хеширования SHA1 и включенным основным ключом безопасной пересылки, а также с выдачей запроса перед созданием правила, введите:



ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c


Чтобы создать правило на компьютере corpsrv1 для всего трафика между компьютерами corpsrv1 и corpsrv2 с использованием сочетания AH и ESP (Encapsulating Security Payload) и проверкой подлинности с помощью общего ключа, введите:



ipseccmd \\corpsrv1 -f corpsrv2+corpsrv1 -n ah[md5]+esp[des,sha] -a p:"corpauth"


Статический режим ipseccmd

Статический режим Ipseccmd служит для создания именованных политик и именованных правил. Используя статический режим, также можно изменять имеющиеся политики и правила, если они созданы с помощью Ipseccmd. Синтаксис статического режима объединяет синтаксис динамического режима с параметрами, позволяющими ему работать на уровне политики.

Синтаксис

ipseccmd параметры_динамического_режима -w тип[ :расположение]  -p имя_политики[:интервал_опроса -r имя_правила [{-x | -y}] [-o]

Параметры

параметры_динамического_режима
Обязательный параметр. Задает набор описанных ранее параметров динамического режима для правила IPSec.
-w тип[:расположение]
Обязательный параметр. Задает запись политик и правил в локальный реестр, реестр удаленного компьютера или домен Active Directory.
-p имя_политики[:интервал_опроса]
Обязательный параметр. Задает имя политики и интервал ее обновления в минутах. Если значение имя_политики содержит пробелы, его следует заключать в кавычки (т. е. "имя_политики").
-r имя_правила
Обязательный параметр. Задает имя правила. Если значение имя_правила содержит пробелы, его следует заключать в кавычки (т. е. "имя_правила").
[{-x | -y}]
Назначение политики локального реестра. Параметр -x задает назначение политики локального реестра. Параметр отменяет назначение политики локального реестра.
-o
Удаление правила или политики.
/?
Отображение справки в командной строке.

Заметки

  • Для параметра -w атрибут тип должен иметь значение reg для выбора реестра локального или удаленного компьютера либо значение ds для выбора Active Directory.
    • Если атрибут тип имеет значение reg, но значение расположение не задано, правило будет создано в реестре локального компьютера.
    • Если атрибут тип имеет значение reg и в качестве атрибута расположение задано имя удаленного компьютера, правило будет создано в реестре этого удаленного компьютера.
    • Если атрибут тип имеет значение ds, но значение расположение не задано, правило будет создано в домене Active Directory, в который входит локальный компьютер.
    • Если атрибут тип имеет значение ds и в качестве атрибута расположение задан домен Active Directory, правило будет создано в этом домене.
  • Если политика, заданная в параметре -p, уже существует, указанное правило будет добавлено в эту политику. В противном случае будет создана политика с указанным именем. Если в качестве интервала_опроса задано целое число, для данной политики будет установлен этот интервал опроса в минутах.
  • Если правило, имя которого задано в параметре -r, уже существует, оно будет изменено в соответствии с заданными параметрами. Например, если включить параметр -f для имеющегося правила, будут заменены только фильтры этого правила. Если правила с указанным именем не существует, оно будет создано.
  • Если задан параметр -o, все параметры указанной политики будет удалены. Не используйте этот параметр, если имеются другие политики, ссылающиеся на объекты в политике, которую требуется удалить.
  • Использование статического режима отличается от использования динамического режима в одном отношении. В динамическом режиме разрешающие и блокирующие фильтры задаются в списке_фильтров, следующем за параметром -f. В статическом режиме разрешающие и блокирующие фильтры задаются в списке_политик_согласования, следующем за параметром -n. Вдобавок к параметрам динамического режима, описанным в списке_политик_согласования, в статическом режиме также можно использовать параметры block, pass и inpass. В следующей таблице приведена таблица со списком и описанием этих параметров.



    ПараметрОписание
    block Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются блокирующими.
    pass Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются разрешающими.
    inpass Фильтры входящего трафика позволяют сначала устанавливать небезопасное подключение, но все последующие ответы будут безопасными с использованием IPSec.


Примеры

Чтобы создать политику «Политика домена» с 30-минутным интервалом обновления в домене Active Directory, членом которого является локальный компьютер, с правилом «Безопасные серверы» для трафика между локальным компьютером и компьютерами SecuredServer1 и SecuredServer2 с использованием способов проверки подлинности Kerberos и общим ключом, введите:



ipseccmd -f 0+SecuredServer1 0+SecuredServer2 -a k p:"corpauth" -w ds -p "Политика домена":30 -r "Безопасные серверы"


Чтобы создать и назначить локальную политику «Весь трафик» и правило «Защита трафика», используя отраженный фильтр, всему трафику локального компьютера с использованием общего ключа в качестве способа проверки подлинности, введите:



ipseccmd -f 0+* -a p:"localauth" -w reg -p "Весь трафик" -r "Защита трафика" -x


Режим запроса ipseccmd

Режим запроса Ipseccmd служит для просмотра данных из базы данных политик безопасности IPSec.

Синтаксис

ipseccmd [\\имя_компьютераshow {{[filters] | [ policies]  | [auth] |
[stats] | [sas]} |  all}

Параметры

\\имя_компьютера
Имя удаленного компьютера, данные которого требуется просмотреть.
show
Обязательный параметр. Запуск Ipseccmd в режиме запроса.
filters
Отображение фильтров основного и быстрого режимов.
policies
Отображение политик основного и быстрого режимов.
auth
Отображение способов проверки подлинности основного режима.
stats
Отображение статистики протоколов IKE и IPSec.
sas
Отображение сопоставлений безопасности основного и быстрого режимов.
all
Отображение всех данных.
/?
Отображение справки в командной строке.

Заметки

  • Команду Ipseccmd нельзя использовать для отображения данных IPSec на компьютерах, работающих под управлением Windows 2000.
  • Если параметр имя_компьютера не задан, отображаются сведения о локальном компьютере.
  • Если используется параметр имя_компьютера, его необходимо задавать перед всеми остальными параметрами, а также обладать правами администратора на компьютере, данные которого требуется просмотреть.

Примеры

Для отображения фильтров и политик основного и быстрого режимов локального компьютера введите:



ipseccmd show filters policies


Для отображения всех сведений IPSec удаленного компьютера Server1 введите:



ipseccmd \\Server1 show al




Для вопросов, обсуждений, замечаний, предложений и т. п. можете использовать раздел форума этого сайта (требуется регистрация).









  own counter Valid XHTML 1.0 Strict Valid CSS

Фитотерапия Молитвы Водолечение Юмор Форум Кладовка link О авторе

Фитотерапия Молитвы Водолечение Юмор Форум Кладовка Ссылки О авторе Отправить сообщение Карта сайта Поиск по сайту Главная страница

Copyright © 1999 - 2024  Бронислав Краснер