128Kb*8 pamięci powinno wystarczyć każdemu :-) (B. Gates 1981)

piątek, 5 marca 2010

Polecenie ipseccmd

Share
Konfiguruje zasady zabezpieczeń protokołu IPSec (Internet Protocol Security) w usłudze katalogowej albo w rejestrze lokalnym lub zdalnym. Polecenie ipseccmd używane w wierszu polecenia jest alternatywą dla przystawki Zasady zabezpieczeń IP programu Microsoft Management Console (MMC). Polecenie ipseccmd działa w trzech trybach: dynamicznym, statycznym i kwerend.
Aby wyświetlić składnię polecenia, należy kliknąć polecenie:
Tryb dynamiczny polecenia ipseccmd
Za pomocą trybu dynamicznego polecenia ipseccmd można dodawać anonimowe reguły, przez dodanie ich do bazy zasad zabezpieczeń IPSec, do istniejących zasad zabezpieczeń IPSec. Dodane reguły zostaną uwzględnione po ponownym uruchomieniu Usług IPSEC. Zaletą korzystania z trybu dynamicznego jest możliwość współistnienia dodanych reguł z zasadami zabezpieczeń IPSec opartymi na domenach. Polecenie ipseccmd jest domyślnie wykonywane w trybie dynamicznym.
Składnia
Aby dodać regułę, należy użyć następującej składni:
ipseccmd [\\nazwa_komputera] -f lista_filtrów [-n lista_zasad_negocjacji] [-t adres_tunelu] [-a lista_metod_uwierzytelniania] [-1s lista_metod_zabezpieczeń] [-1k ustawienia_ponownego_tworzenia_kluczy_w_trybie_głównym] [-1p] [-1f lista_filtrów_trybu_głównego] [-1e czas_wygaśnięcia_skojarzeń_słabych] [-soft] [-confirm] [{-dialup | -lan}]
Aby usunąć wszystkie zasady dynamiczne, należy użyć następującej składni:
ipseccmd -u
Parametry
\\nazwa_komputera
Określa nazwę komputera zdalnego, do którego należy dodać regułę.
-f lista_filtrów
Wymagany w pierwszej składni. Określa jedną lub kilka specyfikacji filtrów, oddzielonych spacjami, dotyczących skojarzeń zabezpieczeń (SA, Security Associations) w trybie szybkim. Każda specyfikacja filtru definiuje zestaw ruchu sieciowego, na który wpływa dana reguła.
-n lista_zasad_negocjacji
Określa jedną lub kilka metod zabezpieczeń, oddzielonych spacjami, służących do ochrony ruchu sieciowego zdefiniowanego przez listę filtrów.
-t adres_tunelu
Określa punkt końcowy tunelu dla trybu tunelowania przy użyciu adresu IP lub nazwy domeny DNS.
-a lista_metod_uwierzytelniania
Określa jedną lub kilka metod uwierzytelniania, oddzielonych spacjami.
-1s lista_metod_zabezpieczeń
Określa jedną lub kilka metod zabezpieczeń wymiany kluczy, oddzielonych spacjami.
-1k ustawienia_ponownego_tworzenia_kluczy_w_trybie_głównym
Określa ustawienia ponownego tworzenia kluczy skojarzeń zabezpieczeń w trybie głównym.
-1p
Włącza doskonałe utajnienie przekazywania klucza głównego.
-1f lista_filtrów_trybu_głównego
Określa jedną lub kilka specyfikacji filtrów dla skojarzeń zabezpieczeń w trybie głównym, oddzielonych spacjami.
-1e czas_wygaśnięcia_skojarzeń_słabych
Określa w sekundach czas wygaśnięcia słabych skojarzeń zabezpieczeń.
-soft
Włącza obsługę słabych skojarzeń zabezpieczeń.
-confirm
Określa, że monit potwierdzający pojawia się przed dodaniem reguł lub zasad.
{-dialup | -lan}
Określa, że reguła dotyczy tylko dostępu zdalnego albo połączeń telefonicznych lub ma zastosowanie tylko do połączeń sieci LAN (Local Area Network).
-u
Wymagany dla drugiej składni. Określa, że wszystkie reguły dynamiczne są usuwane.
/?
Wyświetla Pomoc w wierszu polecenia.
Spostrzeżenia
Nie można używać polecenia ipseccmd do konfigurowania reguł na komputerach, na których uruchomiono system Windows 2000.
Jeżeli nie określono parametru nazwa_komputera, reguła jest dodawana do komputera lokalnego.
Używany parametr nazwa_komputera musi poprzedzać wszystkie inne parametry, a użytkownik wykonujący polecenie musi mieć uprawnienia administratora na komputerze, do którego dodawana jest reguła.
W przypadku parametru -f specyfikacja filtru to jeden lub kilka filtrów oddzielonych spacjami i zdefiniowanych zgodnie z następującym formatem:
adres_źródłowy/maska_źródłowa:port_źródłowy=adres_docelowy/maska_docelowa:port_docelowy:protokół
Parametry maska_źródłowa, port_źródłowy, maska_docelowa i port_docelowy są opcjonalne. Jeżeli je pominięto, dla filtru używana jest maska 255.255.255.255 i wszystkie porty.
Parametr protokół jest opcjonalny. Jeżeli go pominięto, wszystkie protokoły są używane dla filtru. Jeżeli określono protokół, należy wskazać port lub poprzedzić protokół dwoma dwukropkami (::). (Zobacz pierwszy przykład trybu dynamicznego.) Protokół musi być ostatnim elementem w filtrze. Można używać następujących symboli protokołów: ICMP, UDP, RAW lub TCP.
Filtry lustrzane można tworzyć, zastępując znak równości (=) znakiem plus (+).
W poniższej tabeli przedstawiono wartości, którymi można zastępować parametry adres_źródłowy/maska_źródłowa lub adres_docelowy/maska_docelowa.
Wartość
Opis
0
Mój adres lub adresy
*
Dowolny adres
nazwa_DNS
Nazwa domeny DNS. Nazwa DNS rozpoznawana jako wiele adresów jest ignorowana.
identyfikator_GUID
Unikatowy identyfikator globalny (GUID, Globally Unique Identifier) lokalnego interfejsu sieciowego w postaci {12345678-1234-1234-1234-123456789ABC}. Nie można określić identyfikatora GUID, jeżeli parametr -n jest używany w trybie statycznym.
Można włączyć domyślną regułę odpowiedzi, określając specyfikację filtru default.
Można określić filtr akceptujący, wpisując specyfikację filtru w nawiasach. Można określić filtr blokujący, wpisując specyfikację filtru w nawiasach kwadratowych ([ ]).
Jeżeli używane są maski podsieci oparte na klasach adresów internetowych (maski podsieci są definiowane razem z granicami oktetów), można określać maski podsieci, korzystając z notacji wieloznacznej. Na przykład zapis 10.*.*.* jest identyczny z zapisem 10.0.0.0/255.0.0.0, a zapis 10.92.*.* jest identyczny z zapisem 10.92.0.0/255.255.0.0.
Przykłady filtrów
Aby utworzyć filtry lustrzane służące do filtrowania ruchu protokołu TCP między komputerami oznaczonymi jako Komputer1 i Komputer2, należy wpisać:
Komputer1+Komputer2::TCP
Aby utworzyć filtr dla całego ruchu protokołu TCP kierowanego z podsieci 172.31.0.0/255.255.0.0 przez port 80 do podsieci 10.0.0.0/255.0.0.0 przez port 80, należy wpisać:
172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP
Aby utworzyć filtr lustrzany zezwalający na ruch między lokalnym adresem IP i adresem IP 10.2.1.1, należy wpisać:
(0+10.2.1.1)
W przypadku parametru -n jedną lub kilka zasad negocjacji, oddzielonych spacjami, należy określić zgodnie z jednym z następujących formatów:
esp[algorytm_szyfrowania,algorytm_uwierzytelniania]ponowne_tworzenie_kluczyPFS[grupa]
ah[algorytm_mieszania]
ah[algorytm_mieszania]+esp[algorytm_szyfrowania,algorytm_uwierzytelniania]
gdzie parametr algorytm_szyfrowania przyjmuje wartości none, des lub 3des, parametr algorytm_uwierzytelniania przyjmuje wartości none, md5 lub sha, a parametr algorytm_mieszania przyjmuje wartości md5 lub sha.
Konfiguracja esp[none,none] nie jest obsługiwana.
Parametr sha oznacza algorytm mieszania SHA1.
Opcjonalny parametr ponowne_tworzenie_kluczy określa liczbę kilobajtów (wskazywanych przez literę K po liczbie) lub liczbę sekund (reprezentowanych przez literę S po liczbie) poprzedzającą ponowne tworzenie kluczy skojarzeń zabezpieczeń w trybie szybkim. Aby określić oba parametry ponownego tworzenia kluczy, należy oddzielić dwie liczby kreską ułamkową (/). Na przykład aby ponownie tworzyć klucze skojarzenia zabezpieczeń w trybie szybkim co godzinę i po przesłaniu 5 megabajtów danych, należy wpisać:
3600S/5000K
Opcjonalny parametr PFS umożliwia doskonałe utajnienie przekazywania klucza sesji. Doskonale utajnienie przekazywania klucza sesji jest domyślnie wyłączone.
Opcjonalny parametr grupa określa grupę Diffie-Hellman doskonałego utajnienia przekazywania klucza sesji. W przypadku ustawienia Niskie grupy Diffie-Hellman (1) należy określić wartość PFS1 lub P1. W przypadku ustawienia Średnie grupy Diffie-Hellman (2) należy określić wartość PFS2 lub P2. Wartość grupy dla doskonałego utajnienia przekazywania klucza sesji jest domyślnie pobierana z bieżących ustawień trybu głównego.
Jeżeli nie określono zasad negocjacji, domyślnie są przyjmowane następujące zasady:
esp[3des,sha]
esp[3des,md5]
esp[des,sha]
esp[des,md5]
Jeżeli pominięto parametr -t, używany jest tryb transportu protokołu IPSec.
W przypadku parametru -a jedną lub kilka metod uwierzytelniania, oddzielonych spacjami, należy określić według jednego z następujących formatów:
preshare:"ciąg_klucza_wstępnego"
kerberos
cert:"urząd_certyfikacji"
Parametr ciąg_klucza_wstępnego określa ciąg znaków klucza wstępnego. Parametr urząd_certyfikacji określa nazwę wyróżniającą certyfikatu wyświetlaną w przystawce Zasady zabezpieczeń IP, jeśli certyfikat jest zaznaczony jako metoda uwierzytelniania reguły. W parametrach ciąg_klucza_wstępnego i urząd_certyfikacji jest uwzględniana wielkość liter. Można skracać nazwy metod, używając ich pierwszych liter: p, k lub c. Jeżeli pominięto parametr -a, domyślnie przyjmowana jest metoda uwierzytelniania Kerberos.
W przypadku parametru -1s jedną lub kilka metod zabezpieczeń wymiany klucza należy oddzielić spacjami i zdefiniować zgodnie z następującym formatem:
algorytm_szyfrowania-algorytm_mieszania-nr_grupy
gdzie parametr algorytm_szyfrowania przyjmuje wartości des lub 3des, parametr algorytm_mieszania przyjmuje wartości md5 lub sha, a parametr nr_grupy przyjmuje wartość 1 dla ustawienia Niskie grupy Diffie-Hellman (1) lub 2 dla ustawienia Średnie grupy Diffie-Hellman (2). Jeżeli pominięto parametr -1s, domyślnie używane są następujące metody zabezpieczeń wymiany klucza: 3des-sha-2, 3des-md5-2, des-sha-1 i des-md5-1.
W przypadku parametru -1k można określić liczbę skojarzeń zabezpieczeń w trybie szybkim (reprezentowanym przez literę Q po liczbie) lub liczbę sekund (wskazywanych przez literę S po liczbie) poprzedzającą ponowne tworzenie kluczy skojarzeń zabezpieczeń w trybie szybkim. Aby określić oba parametry ponownego tworzenia kluczy, należy oddzielić dwie liczby kreską ułamkową (/). Na przykład aby ponownie tworzyć klucze skojarzenia zabezpieczeń w trybie głównym po 10 skojarzeniach zabezpieczeń w trybie szybkim i co godzinę, należy wpisać:
10Q/3600S
Jeżeli pominięto parametr -1k, dla ponownego tworzenia kluczy skojarzeń zabezpieczeń w trybie głównym domyślnie są przyjmowane następujące wartości: nieograniczona liczba skojarzeń zabezpieczeń w trybie szybkim i 480 sekund.
Doskonałe utajnienie przekazywania klucza głównego jest domyślnie wyłączone.
W przypadku parametru -1f składnia służąca do określania specyfikacji filtru trybu głównego jest taka sama jak parametru -f, nie można jednak określić filtrów akceptujących i blokujących, portów lub protokołów. Jeżeli pominięto parametr -1f, filtry trybu głównego są tworzone automatycznie na podstawie filtrów trybu szybkiego.
Jeżeli pominięto parametr -1e, czas wygaśnięcia słabych skojarzeń zabezpieczeń wynosi 300 sekund. Słabe skojarzenia zabezpieczeń są jednak wyłączone, jeżeli nie dołączono parametru -soft.
Potwierdzenie jest dostępne tylko w przypadku trybu dynamicznego.
Jeżeli nie określono parametru -dialup albo -lan, reguła jest stosowana do wszystkich kart.
Przykłady
Aby utworzyć regułę używającą nagłówka uwierzytelniania (AH, Authentication Header) z mieszaniem MD5 dla całego ruchu kierowanego do i od komputera lokalnego, należy wpisać:
ipseccmd -f 0+* -n ah[md5]
Aby utworzyć regułę tunelu dla ruchu z punktu 10.2.1.1 i 10.2.1.13 przy użyciu punktu końcowego tunelu 10.2.1.13, trybu tunelu z nagłówkiem uwierzytelniania opartego na algorytmie mieszania SHA1, włączonego doskonałego utajnienia przekazywania klucza głównego i monitu potwierdzającego regułę przed jej utworzeniem, należy wpisać:
ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c
Aby utworzyć regułę na komputerze korpserw1 dla całego ruchu między komputerami serwkorp1 i serwkorp2 przy użyciu kombinacji nagłówka uwierzytelniania i formatu Encapsulating Security Payload (ESP) oraz uwierzytelniania opartego na kluczu wstępnym, należy wpisać:
ipseccmd \\serwkorp1 -f serwkorp+serwkorp1 -n ah[md5]+esp[des,sha] -a p:"corpauth"
Tryb statyczny polecenia ipseccmd
Trybu statycznego polecenia ipseccmd można używać do tworzenia nazwanych zasad i reguł. Trybu statycznego można również używać do modyfikowania istniejących zasad i reguł pod warunkiem, że zostały pierwotnie utworzone przy użyciu polecenia ipseccmd. Składnia trybu statycznego łączy składnię trybu dynamicznego z parametrami umożliwiającymi działanie na poziomie zasad.
Składnia
ipseccmd parametry_trybu_dynamicznego -w typ[:lokalizacja] -p nazwa_zasady[:interwał_sondowania] -r nazwa_reguły [{-x | -y}] [-o]
Parametry
parametry_trybu_dynamicznego
Wymagany. Określa opisany wyżej zestaw parametrów trybu dynamicznego reguły zabezpieczeń IPSec.
-w typ[:lokalizacja]
Wymagany. Określa, że zasady i reguły są zapisywane w rejestrze lokalnym, rejestrze komputera zdalnego lub w domenie usługi katalogowej Active Directory.
-p nazwa_zasady[:interwał_sondowania]
Wymagany. Określa nazwę zasady i częstotliwość sprawdzania zachodzących w niej zmian, określoną w minutach. Jeżeli parametr nazwa_zasady zawiera spacje, należy wpisać tekst w cudzysłowie (czyli "nazwa zasady").
-r nazwa_reguły
Wymagany. Określa nazwę reguły. Jeżeli parametr nazwa_reguły zawiera spacje, należy wpisać tekst w cudzysłowie (czyli "nazwa reguły").
[{x|y
Określa, czy przypisano zasadę rejestru lokalnego. Parametr -x określa, że przypisano zasadę rejestru lokalnego. Parametr -y określa, że nie przypisano zasady rejestru lokalnego.
-o
Określa, że należy usunąć regułę lub zasadę.
/?
Wyświetla Pomoc w wierszu polecenia.
Spostrzeżenia
W przypadku parametru -w wartość typ jest równa reg, jeśli określa rejestr komputera lokalnego lub zdalnego albo ds, jeśli wskazuje na usługę katalogową Active Directory.
Jeżeli dla parametru typ określono wartość reg, ale parametr lokalizacja nie jest używany, tworzona jest reguła dla rejestru komputera lokalnego.
Jeżeli dla parametru typ określono wartość reg i wskazano nazwę komputera zdalnego w parametrze lokalizacja, tworzona jest reguła rejestru określonego komputera zdalnego.
Jeżeli dla parametru typ określono wartość ds, ale parametr lokalizacja nie jest używany, tworzona jest reguła domeny usługi katalogowej Active Directory, której członkiem jest komputer lokalny.
Jeżeli dla parametru typ określono wartość ds i wskazano domenę usługi katalogowej Active Directory w parametrze lokalizacja, tworzona jest reguła określonej domeny.
W przypadku parametru -p określona reguła jest dodawana do zasad, jeżeli one już istnieją. W przeciwnym wypadku tworzone są zasady zgodnie z określoną nazwą. Jeżeli określono liczbę całkowitą dla parametru interwał_sondowania, interwał sondowania zasad jest ustawiany w minutach, zgodnie z tą liczbą.
W przypadku parametru -r jeżeli dana reguła już istnieje, to jest tak modyfikowana, aby odzwierciedlić parametry określone w poleceniu. Na przykład jeżeli dołączono parametr -f do istniejącej reguły, zastępowane są tylko jej filtry. Jeżeli określona reguła nie istnieje, tworzona jest reguła zgodnie z określoną nazwą.
W przypadku parametru -o wszystkie aspekty określonych zasad są usuwane. Nie należy używać tego parametru, jeżeli inne zasady wskazują na obiekty zasad przeznaczonych do usunięcia.
Korzystanie z trybu statycznego różni się od używania trybu dynamicznego pod jednym względem. W przypadku trybu dynamicznego filtry akceptujące i blokujące są określane w postaci listy lista_filtrów identyfikowanej przy użyciu parametru -f. W przypadku trybu statycznego filtry akceptujące i blokujące są określane w postaci listy lista_zasad_negocjacji identyfikowanej przy użyciu parametru -n. Oprócz parametrów związanych z listą lista_zasad_negocjacji używaną w trybie dynamicznym, można korzystać z parametrów block, pass lub inpass w trybie statycznym. W poniższej tabeli przedstawiono listę parametrów i opisy ich zachowania.
Parametr
Opis
block
Pozostałe zasady wymienione na liście lista_zasad_negocjacji są ignorowane, a wszystkie filtry są traktowane jako filtry blokujące.
pass
Pozostałe zasady wymienione na liście lista_zasad_negocjacji są ignorowane, a wszystkie filtry są traktowane jako filtry akceptujące.
inpass
Filtry wejściowe będą zezwalać na wstępną niezabezpieczoną komunikację, ale odpowiedzi będą chronione za pomocą protokołu IPSec.
Przykłady
Aby utworzyć zasady o nazwie Domyślne zasady domeny z 30-minutowym interwałem sondowania w domenie usługi katalogowej Active Directory, której członkiem jest komputer lokalny, z regułą o nazwie Zabezpieczone serwery dotyczącą ruchu sieciowego między komputerem lokalnym oraz komputerami o nazwie ZabezpieczonySerwer1 i ZabezpieczonySerwer2 przy użyciu metody uwierzytelniania Kerberos i metody opartej na kluczu wstępnym, należy wpisać:
ipseccmd -f 0+ZabezpieczonySerwer1 0+ZabezpieczonySerwer2 -a k p:"corpauth" -w ds -p "Domyślne zasady domeny":30 -r "Zabezpieczone serwery"
Aby utworzyć i przypisać zasady lokalne o nazwie „Ja do innych” z regułą o nazwie „Zabezpieczenia mojego ruchu sieciowego” przy użyciu lustrzanego filtru ruchu sieciowego kierowanego do komputera lokalnego oraz metody uwierzytelniania opartej na kluczu wstępnym, należy wpisać:
ipseccmd -f 0+* -a p:"localauth" -w reg -p "Ja do innych" -r "Zabezpieczenia mojego ruchu sieciowego" -x
Tryb kwerend polecenia ipseccmd
Trybu kwerend polecenia ipseccmd można używać do wyświetlania danych z bazy danych zasad zabezpieczeń IPSec.
Składnia
ipseccmd [\\nazwa_komputera] show {{[filters] | [policies] | [auth] | [stats] | [sas]} | all}
Parametry
\\nazwa_komputera
Określa nazwę komputera zdalnego, którego powinny dotyczyć wyświetlone dane.
show
Wymagany. Wskazuje, że należy uruchomić polecenie ipseccmd w trybie kwerend.
filters
Wyświetla filtry trybu głównego i trybu szybkiego.
policies
Wyświetla zasady trybu głównego i trybu szybkiego.
auth
Wyświetla metody uwierzytelniania trybu głównego.
stats
Wyświetla statystykę dotyczącą usługi Internet Key Exchange (IKE) i protokołu IPSec.
sas
Wyświetla skojarzenia zabezpieczeń trybu głównego i trybu szybkiego.
all
Wyświetla dane wszystkich powyższych typów.
/?
Wyświetla Pomoc w wierszu polecenia.
Spostrzeżenia
Polecenia ipseccmd nie można używać do wyświetlania danych o zabezpieczeniach IPSec w przypadku komputerów, na których uruchomiono system Windows 2000.
Jeżeli parametr nazwa_komputera nie jest używany, wyświetlane są informacje dotyczące komputera lokalnego.
Używany parametr nazwa_komputera musi poprzedzać wszystkie inne parametry, a użytkownik musi mieć uprawnienia administratora na komputerze, którego powinny dotyczyć wyświetlone informacje.
Przykłady
Aby wyświetlić filtry i zasady trybu głównego i trybu szybkiego dla komputera lokalnego, należy wpisać:
ipseccmd show filters policies
Aby wyświetlić wszystkie informacje dotyczące zabezpieczeń IPSec dla komputera zdalnego Serwer1, należy wpisać następujące polecenie:
ipseccmd \\Serwer1 show all

Brak komentarzy:

Prześlij komentarz

 
www.Webmaster.M106.COM