Win 2003でIPsecの問題を診断する方法

社内LAN内の通信を保護するためにIPsecを実装しましたすべての技術文書を注意深く守ってきましたが、ネットワーク通信が実際に盗聴から保護されているかどうかわかりません。 IPsecがあなたのコンピュータのネットワーク通信を暗号化しているという自信をどのように再確立できますか？

問題がすべてうまくいくことを確認する方法を見てみましょう。次に、確認プロセスで問題が見つかった場合は、IPsec関連の確認に関する問題のトラブルシューティングの全体的な状況を確認します。 。検証プロセス中に、Windows Server 2003用の組み込みツールをいくつか紹介します。ネットワーク通信が暗号化されていないことがわかった場合は、これらのツールを使用してIPsecの問題を診断できます。論じられた技術は、ＩＰｓｅｃカードおよび仮想プライベートネットワークベースのＩＰｓｅｃのような特定のＩＰｓｅｃアプリケーションには適用できないかもしれない。

1. IPsecが実行されているかどうかを確認します。

IPsecの展開に成功しても、まだ多くの問題があります。 Windows Server 2003またはWindows XPマシン上の一般的なネットワーク接続が失われたことに憤慨している場合、オペレーティングシステムは問題を認識していることを保証します。あいにく、あなたにIPsecの状態を知らせ続けるための同様の方法はありません。問題が発生した場合は、すべてのネットワーク接続を解放するか、より機密性を高めるためにIPsecの導入に頼ってください。ネットワーク通信は継続できますが、暗号化は行われなくなります。あなたがあなたが保護されていると信じていても、あなたのネットワーク通信がまったく安全ではないことに気付いたときあなたがどれほどショックを受けたか想像してみてください。

IPsecが実行されているかどうかを確認する最も簡単な方法は、ネットワークモニタを使用して、コンピュータに出入りするパケットをキャプチャし、暗号化されているかどうかを確認することです。ネットワークモニタはWindows Server 2003に含まれています。[コントロールパネル]、[プログラムの追加と削除]、[Windowsコンポーネントの追加と削除]の順にクリックしてインストールできます。インストールが完了したら、[キャプチャ]メニューから[開始]を選択してパッケージのキャプチャを開始できます。次に、ネットワークの動作を作成し、データを生成し、他のコンピュータの共有フォルダを参照するなどの一般的な操作を実行します。最後に、[キャプチャ]メニューの[停止して表示]をクリックします。

図1は、2つのパケットキャプチャの結果を示しています。左側は、コンピュータがIPsecを使用するように設定されていない場合に実行されるパケットキャプチャです。[Protocols]列に複数のプロトコルが表示されます。右側には、コンピュータがIPsecを使用するように構成されている場合に実行されるパケットキャプチャが表示されています1つのプロトコルのみが一覧表示されていることがわかります：セキュリティペイロード（ESP）プロトコル。 Windows Server 2003コンピュータが既定のIPsecポリシーを使用するように構成されている場合、パケットキャプチャにはESPとインターネット制御メッセージプロトコル（ICMP）のみが表示されます。デフォルトのIPsecポリシーでICMP通信が許可されているため、インターネット制御メッセージプロトコルが表示されます。したがって、ネットワークトラフィックをキャプチャするときに複数のプロトコルが表示される場合は、IPsecが正しく機能していないと考えるべき理由があります。

図1：パケットキャプチャ
の比較

ほとんどすべてのIPsecの問題は、インターネット鍵交換（インターネット鍵交換、IKE）検証が難しい相いるために発生します。 2台のコンピュータがセキュリティアソシエーション（SA）を確立しようとすると、互いのIDを検証するプロセスが実行されます。 IKEはセキュリティアソシエーションをネゴシエートするためのアルゴリズムです。認証は、事前共有キー、デジタル証明書、またはKerberosに基づいています。デフォルトのWindows Server 2003 IPsecポリシーはKerberosを使用します。ほとんどの場合、IPsecのトラブルシューティングは検証プロセスのトラブルシューティングを意味します。

2. IPsecサービスを再起動します。

IPsecが実行されていないと判断したら、まずIPsecサービスを再起動します。 IPsecサービスを再開すると、IKEネゴシエーションステータスが完全にクリアされます。このアプローチは通常、ポリシーの大幅な変更後にIPsecが無効になったときに再び機能します。このソリューションの2つの利点は、サーバーの再起動が不要で、実装にかかる時間が少なくて済むことです。 Windows Server 2003コンピュータでコマンドプロンプトから次のNetコマンドを実行すると、IPsecサービスを再起動できます。

次はコードスニペットです。net stop policyagent net start policyagent

それでは、ネットワークパケットキャプチャテストをもう一度実行するか、または後で説明するNetshコマンドを実行します。

3.イベントログのIKE問題の診断

IPsecを再起動しても問題が解決しない場合は、代わりにセキュリティイベントログを確認してください。セキュリティアソシエーションを作成および削除する行為は、ネットワークログインイベントとして監査されます。監査ログインイベントポリシーで成功と失敗の監査を有効にすると、これらのイベントが記録されます。すべてが正常に機能している場合、表示される成功コードは541、542、および543です。ただし、この記事ではIPsecが実行されていないときの対処方法について説明します。したがって、この場合は、表1に示す障害コードに特に注意する必要があります。図２は失敗イベント５４７を示す。

表1：失敗の監査コード

図2：失敗イベント547

イベントに関連する安全性の問題は、イベントがすぐにログがいっぱいになることをログに記録します。特にログインイベントを監査し、セキュリティイベントログをIKEエントリで埋めたくない場合は、<; HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa \\ Audit \\ DisableIKE Audits'サブキーを作成して、 IKE監査を禁止するには1。