概要
Windows 2000 会自动创建一个与第二层隧道协议 (L2TP)/IPSec 连接(该连接需要用于 Internet 密钥交换 (IKE) 身份验证的证书)一起使用的 Internet 协议安全 (IPSec) 策略。
尽管 Microsoft 不支持或不推荐在远程访问 L2TP/IPSec 客户端连接上使用预共享密钥来进行 IKE 身份验证(仅应当用于测试),但是 Windows 2000 符合 IKE RFC 2409 标准,它提供了一种实现这种密钥的方法。支持通过使用预共享密钥进行 IKE 身份验证来实现 L2TP/IPSec 网关对网关的 VPN。
为 L2TP/IPSec 连接实现预共享密钥身份验证方法:
•
您必须向两台基于 Windows 2000 的终结点计算机添加 ProhibitIpSec 注册表值。
•
必须手动配置一个 IPSec 策略,然后才能在两台基于 Windows 2000 的计算机之间建立 L2TP/IPSec 连接。
本文介绍如何配置两台通过局域网 (LAN) 连接的、基于 Windows 2000 的路由和远程访问服务 (RRAS) 服务器,使它们使用一个采用预共享密钥身份验证的 L2TP/IPSec 连接。本文还介绍了如何配置 IPSec 策略来接受使用多个预共享密钥或 CA 的连接。
Microsoft 不支持 L2TP/IPSec VPN 客户端使用预共享密钥的原因是:
•
这种密钥会使安全协议受到众所周知的不安全使用问题(选择密码)的影响 -- 公布出来的攻击已经证明预共享密钥的安全性低。
•
它不能够被安全地部署。由于配置预共享密钥的用户需要访问公司网关,因此许多用户都会知道该密钥,这样它就成了一个“组预共享密钥”。较长的预共享密钥几乎都需要写下来。整个组都换用新的预共享密钥后,才能取消各个系统的访问。
•
正如 Microsoft 在联机帮助、各资源工具包章节和 Microsoft 知识库文章 Q248711 中所述,Windows 2000 IPSec 预共享密钥仅供用于 RFC 遵从性、interop 测试和不涉及安全性的互操作性方面。预共享密钥存储在只有本地管理员才有读访问权的本地注册表中,但本地管理员必须知道它、设置它,这样任何本地管理员以后才能看到或更改它。
•
在使用预共享密钥时,客户和 Microsoft 的支持成本都很高。
•
当基于 Windows 2000 的客户端是 Windows 2000 域的成员(一般来说这也是部署基于 IPSec 的 VPN 时使用的安全方法)时,使用 Windows 2000 组策略自动注册来获取一个基于 Windows 2000 的计算机证书就像请求一个 Web 页一样容易,甚至更容易。
Microsoft 确实会为使用预共享密钥的 VPN L2TP/IPSec 网关对网关隧道提供支持,因为它必须由一个知识渊博的网关管理员针对每个静态 IP 在该网关上进行本地配置。IPSec 隧道仅在使用静态 IP 地址时受支持,并且仅支持基于地址的策略选择,而不支持基于端口和协议的策略。Microsoft 建议为网关对网关使用 L2TP/IPSec。只有在不能选用 L2TP/IPSec 时,才为网关对网关使用 IPSec 隧道模式。
更多信息
警告:“注册表编辑器”使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用“注册表编辑器”需要您自担风险。
必须向 L2TP/IPSec 连接上的每台基于 Windows 2000 的终结点计算机添加 ProhibitIpSec 注册表值,才能禁止创建用于 L2TP/IPSec 通信的自动筛选器。ProhibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器,而是检查本地 IPSec 策略或 Active Directory IPSec 策略。要向基于 Windows 2000 的计算机添加 ProhibitIpSec 注册表值,请使用注册表编辑器 (Regedt32.exe) 在注册表中找到下面的项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
向该项添加下面的注册表值:
数值名称:ProhibitIpSec
数据类型:REG_DWORD
值: 1
请注意,您必须重新启动基于 Windows 2000 的计算机,这些更改才能生效。
如何为使用预共享密钥的 L2TP/IPSec 连接创建 IPSec 策略注意:下列步骤假定本文中前面介绍的 ProhibitIpSec 注册表值已经添加到两个基于 Windows 2000 的 RRAS 终结点服务器上,并且基于 Windows 2000 的 RRAS 终结点服务器已经启动。
1.
单击开始,单击运行,键入 mmc,然后单击确定。
2.
依次单击控制台、“添加/删除管理单元”、添加、IP 安全策略管理、完成、关闭,然后单击确定。
3.
右键单击“本地计算机上的 IP 安全策略”,单击创建 IP 安全策略,然后单击下一步。
4.
在 IP 安全策略名称对话框中,在名称框内键入 IP 安全策略的名称,然后单击下一步。
5.
在“安全通讯请求”对话框中,单击清除“激活默认响应规则”复选框,然后单击下一步。
6.
单击选中编辑属性复选框,然后单击完成。
7.
在新 IP 安全策略属性对话框中的规则选项卡上,单击添加,然后单击下一步。
8.
在隧道终结点对话框中,单击“此规则不指定隧道”,然后单击下一步。
9.
在网络类型对话框中,单击“所有网络连接”,然后单击下一步。
10.
在身份验证方法对话框中,单击“此字串用来保护密钥交换(预共享密钥)”,键入一个预共享密钥,然后单击下一步。
11.
在 IP 筛选器列表对话框中,单击添加,在名称框中键入 IP 筛选器列表的名称,单击添加,然后单击下一步。
12.
在 IP 通信源对话框中,在“源地址”框内单击“一个特定的 IP 地址”。在 IP 地址框中,键入基于 Windows 2000 的源 RRAS 服务器的传输控制协议/Internet 协议 (TCP/IP) 地址,然后单击下一步。
注意:在各台基于 Windows 2000 的 RRAS 终结点服务器上使用的源地址必须相匹配。例如,如果源地址是 1.1.1.1,则您必须在两台基于 Windows 2000 的 RRAS 终结点服务器上都使用 1.1.1.1 作为源地址。
13.
在 IP 通信目标对话框中,单击“一个特定的 IP 地址”。在“目标地址”框中,键入基于 Windows 2000 的目标 RRAS 服务器的传输控制协议/Internet 协议 (TCP/IP) 地址,然后单击下一步。
注意:在各台基于 Windows 2000 的 RRAS 终结点服务器上使用的目标地址必须相匹配。例如,如果目标地址是 2.2.2.2,则您必须在两台基于 Windows 2000 的 RRAS 终结点服务器上都使用 2.2.2.2 作为目标地址。
14.
在 IP 协议类型对话框中,在“选择协议类型”框中单击 UDP,然后单击下一步。
15.
在 IP 协议端口对话框中,单击“从此端口”。在“从此端口”框中键入 1701,单击“到任意端口”,然后单击下一步。
16.
单击选中“编辑属性”复选框,单击完成,单击选中筛选器属性对话框中的“镜像。同时匹配具有正好相反的源和目标地址的数据包”复选框,单击确定,然后单击关闭。
17.
在 IP 筛选器列表对话框中,单击您刚才创建的 IP 筛选器,然后单击下一步。
18.
在筛选器操作对话框中,单击添加创建一个新的筛选器操作,指定要使用的完整性和加密算法。
注意:此新建的筛选器操作必须禁用“接受不安全的通讯,但总是用 IPSec 响应”才能保证安全。
19.
单击下一步,单击完成,然后单击关闭。
20.
右键单击您刚才创建的 IPSec 策略,然后单击分配。
注意:您必须用完全相同的方式配置两台基于 Windows 2000 的 RRAS 终结点服务器。在第一台基于 Windows 2000 的 RRAS 终结点服务器上设置好 IPSec 筛选器后,即可在连接的一端可以看到它,接着会在第二台基于 Windows 2000 的 RRAS 终结点服务器上创建它的一个副本。根据本文上面介绍的示例,如果第一台基于 Windows 2000 的 RRAS 终结点服务器有一个 1.1.1.1 TCP/IP 地址,第二台基于 Windows 2000 的 RRAS 终结点服务器有一个 2.2.2.2 TCP/IP 地址,则这两台基于 Windows 2000 的 RRAS 终结点服务器上的 IPSec 策略内会创建一个源地址为 1.1.1.1、目标地址为 2.2.2.2 的筛选器。这使得每台基于 Windows 2000 的 RRAS 终结点服务器都可以启动该连接。
如何配置 IPSec 策略以接受使用多个预共享密钥或 CA 的连接创建一个带有使用预共享密钥的筛选器的策略后,有必要在 IPSec 策略内为其他需要不同的预共享密钥或 CA 的连接创建其他规则。
有关 Windows 2000 创建的、使用 CA 的自动筛选器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248750 Description of the Automatic Filter Created for Use with L2TP/IPSec
253498 安装用于 IP 安全的证书
此外,请查看下面的 Microsoft Web 站点上的白皮书:
http://www.microsoft.com/windows2000/techinfo/howitworks/security/ip_security.asp
http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp
这篇文章中的信息适用于:
•
Microsoft Windows 2000 Server
•
Microsoft Windows 2000 Advanced Server
•
Microsoft Windows 2000 Professional Edition
•
Microsoft Windows 2000 Datacenter Server