Toto je starší verze dokumentu!
Před konfigurací IPsec musíte získat certifikát pro váš server, návod předpokládá použití eduroam CA.
Nainstalujte certifikáty CESNET Root a CESNET CA 4 a certifikát serveru podle návodu pro Win 2003.
Konfiguraci IPsec provedete v shellu spuštěném s právy administrátora pomocí příkazů:
C:\Windows\system32>netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate" Ok. C:\Windows\system32>netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+841min+2147483647kb Ok.
Hodnotu xx.xx.xx.xx parametru endpoint1 musíte nahradit veřejnou IPv4 adresou vašeho serveru. Čas 841min představuje dobu platnosti SA máte ji předpočítanou v CESNET CAAS, jen ji musíte převést z vteřin. Operace 'add' vždy pravidlo přidá, pokud budete muset parametry měnit můsíte předchozí smazat, viz níže v tomto návodu.
Kontrola nastavených parametrů IPsec se provede:
C:\Windows\system32>netsh advfirewall mainmode show rule all Rule Name: radius1.eduroam.cz ---------------------------------------------------------------------- Enabled: Yes Profiles: Domain,Private,Public Endpoint1: xx.xx.xx.xx/32 Endpoint2: 195.113.187.22/32 Auth1: ComputerCert,ComputerCert Auth1CAName: CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz Auth1CertMapping: No Auth1ExcludeCAName: No Auth1CertType: Root Auth1HealthCert: No Auth1CAName: DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root Auth1CertMapping: No Auth1ExcludeCAName: No Auth1CertType: Intermediate Auth1HealthCert: No SecMethods: DHGroup2-3DES-SHA1 ForceDH: No KeyLifetime: 1440min,0sess Ok. C:\Windows\system32>netsh advfirewall consec show rule all Rule Name: radius1.eduroam.cz ---------------------------------------------------------------------- Enabled: Yes Profiles: Domain,Private,Public Type: Static Mode: Transport Endpoint1: xx.xx.xx.xx/32 Endpoint2: 195.113.187.22/32 Protocol: Any Action: RequireInRequireOut Auth1: ComputerKerb MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 QuickModeSecMethods: ESP:SHA1-3DES+841min+2147483647kb ApplyAuthorization: No Ok.
Případné smazání pravidel:
C:\Windows\system32>netsh advfirewall mainmode delete rule all Deleted 1 rule(s). Ok. C:\Windows\system32>netsh advfirewall consec delete rule all Deleted 1 rule(s). Ok.
Dokumentace ke konfigurování Windows Firewallu pomocí netsh, je na stránkách Microsoftu.
IPsec tunel se sestavuje jednotky až desítky vteřin, takže je s ohledem na rychlost ověření uživatelů v hodné udržovat tunel aktivní. K tomu lze použít příkaz ping -n 3 radius1.eduroam.cz naplánovaný na každých 15min pomocí Task Scheduleru.
Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí Local Group Policy Editor v Local Computer Policy → Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy → System Audit Policies → System → Logon/Logoff a tam je potřeba zapnout logování:
Audit IPSec Extended ModeAudit IPSec Main ModeAudit IPSec Quick Modeviz screenshot.
Případně je také možné zapnout auditování IPsec driveru, opět pomocí Local Group Policy Editor v Local Computer Policy → Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy → System Audit Policies → System → Audit IPsec Driver. Viz screenshot.
Logy samotné jsou pak k dispozici v Event Viewer v Windows Logs→Security, viz screenshot.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz
