Ipseccmd
Служит для настройки политик IPSec (Internet Protocol Security) в службе каталогов либо в локальном или удаленном реестре. Ipseccmd является альтернативой для командной строки оснастке консоли MMC «Политики безопасности IP». Ipseccmd имеет три режима: динамический, статический и режим запроса.
Динамический режим ipseccmd
Динамический режим Ipseccmd служит для добавления анонимных правил в имеющуюся политику безопасности IPSec путем добавления их в базу данных политик безопасности IPSec. Добавленные правила будут присутствовать даже после перезапуска службы «Службы IPSEC». Преимуществом использования динамического режима является сосуществование добавляемых правил с политикой IPSec домена. По умолчанию используется динамический режим Ipseccmd.
Синтаксис
- Для добавления правила используется следующий синтаксис:
-
ipseccmd [\\имя_компьютера] -f список_фильтров [ -n список_политик_согласования] [-t адрес_туннеля] [ -a список_способов_пров_подлинности] [-1s список_методов_безопасности] [ -1k параметры_смены_ключа] [-1p] [-1f список_фильтров_осн_режима] [-1e срок_действия] [-soft] [ -confirm] [{-dialup | -lan}]
- Для удаления всех динамических политик используется следующий синтаксис:
-
ipseccmd -u
Параметры
- \\имя_компьютера
- Имя локального или удаленного компьютера, на который требуется добавить правило.
- -f список_фильтров
- Необходим в первом случае. Одно или несколько определений фильтра, разделенных пробелами, для быстрого режима сопоставления безопасности. Каждое определение фильтра включает набор сетевого трафика, к которому относится это правило.
- -n список_политик_согласования
- Один или несколько методов безопасности, разделенных пробелами, для защиты трафика, определенного списком фильтров.
- -t адрес_туннеля
- Конечная точка туннеля для режима туннеля, заданная как IP-адрес или имя в системе DNS.
- -a список_способов_пров_подлинности
- Один или несколько способов проверки подлинности, разделенных пробелами.
- -1s список_методов_безопасности
- Один или несколько методов обеспечения безопасности при обмене ключами, разделенных пробелами.
- -1k параметры_смены_ключа
- Параметры смены ключа в основном режиме сопоставления безопасности.
- -1p
- Включение основного ключа безопасной пересылки.
- -1f список_фильтров_осн_режима
- Одно или несколько определений фильтров для сопоставлений безопасности основного режима, разделенных пробелами.
- -1e срок_действия
- Срок действия мягких сопоставлений безопасности в секундах.
- -soft
- Включение мягких сопоставлений безопасности.
- -confirm
- Запрос подтверждения перед добавлением правила или политики.
- {-dialup | -lan}
- Применение правила только к подключениям удаленного доступа и подключениям через телефон либо к подключениям через локальную сеть.
- -u
- Необходим во втором случае. Удаление всех динамических правил.
- /?
- Отображение справки в командной строке.
Заметки
- Команду Ipseccmd нельзя использовать для настройки правил на компьютерах, работающих под управлением Windows 2000.
- Если не задан параметр имя_компьютера, правило будет применено к локальному компьютеру.
- Если используется параметр имя_компьютера, его необходимо задавать перед всеми остальными параметрами, а также обладать правами администратора на компьютере, в политику которого требуется добавить правило.
- Для параметра -f определение фильтра представляет собой один или несколько фильтров, разделенных пробелами и представленных в следующем формате:
-
исходный_адрес/исходная_маска:исходный_порт =конечный_адрес/конечная_маска:конечный_порт:протокол
- Значения исходная_маска, исходный_порт, конечная_маска и конечный_порт являются необязательными. Если они не указаны, в фильтре будет использована маска 255.255.255.255 и все порты.
- Значение протокол является необязательным. Если оно не указано, в фильтре будут использованы все протоколы. Если протокол задан, необходимо также задать порт либо поставить перед протоколом два двоеточия (::). (смотрите первый пример для динамического режима.) Протокол должен быть последним элементом фильтра. Можно использовать следующие обозначения протоколов: ICMP, UDP, RAW или TCP.
- Заменяя знак «равно» (=) знаком «плюс» (+), можно создавать отраженные фильтры.
- Значения исходный_адрес/исходная_маска или конечный_адрес/конечная_маска можно заменять значениями из следующей таблицы.
-
Значение Описание 0 Локальный адрес или локальные адреса * Любой адрес DNS-имя DNS-имя домена. Если DNS-имени сопоставлено несколько адресов, оно не учитывается. Код GUID Глобальный уникальный идентификатор (GUID) интерфейса локальной сети в форме {12345678-1234-1234-1234-123456789ABC}. Задание кода GUID не поддерживается при использовании параметра -n в статическом режиме. - Задав определение фильтра default, можно включить правило отклика по умолчанию.
- Разрешающий фильтр можно задать, заключив определение фильтра в скобки. Блокирующий фильтр можно задать, заключив определение фильтра в квадратные скобки ([ ]).
- Если для адресов Интернета используются маски подсети на основе классов (маски подсети, определенные границами октетов), для задания масок подсети можно использовать подстановочные знаки. Например, 10.*.*.* является тем же, что и 10.0.0.0/255.0.0.0, а 10.92.*.* тем же, что и 10.92.0.0/255.255.0.0.
Примеры фильтров
Чтобы создать отраженные фильтры для фильтрации TCP-трафика между Computer1 и Computer2, введите:
Computer1+Computer2::TCP
Чтобы создать фильтр для всего TCP-трафика из подсети 172.31.0.0/255.255.0.0, порт 80, в подсеть 10.0.0.0/255.0.0.0, порт 80, введите:
172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP
Чтобы создать отраженный фильтр для передачи трафика между локальным IP-адресом и IP-адресом 10.2.1.1, введите:
(0+10.2.1.1)
- Для параметра -n одна или несколько политик согласования разделяются пробелами и задаются в одной из следующих форм:
-
- esp[алг_шифрования,алг_пров_подлинности]смена_ключаPFS[группа]
- ah[алг_хеширования]
- ah[алг_хеширования]+esp[алг_шифрования,алг_пров_подлинности]
где алг_шифрования может иметь значение none, des или 3des, алг_пров_подлинности может иметь значение none, md5 или sha, а алг_хеширования может иметь значение md5 или sha.
- Конфигурация esp[none,none] не поддерживается.
- Параметр sha соответствует алгоритму хеширования SHA1.
- Параметр смена_ключа необязателен, и он задает количество килобайт (на что указывает буква K после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в быстром режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в быстром режиме сопоставления безопасности сменялся через каждый час и через каждые 5 мегабайт данных, введите:
-
3600S/5000K
- Параметр PFS является необязательным, он включает сеансовые циклы безопасной пересылки. По умолчанию сеансовые циклы безопасной пересылки отключены
- Параметр группа является необязательным, он включает группу Диффи-Хелмана для сеансовых циклов безопасной пересылки. Для низкой группы (1) Диффи-Хелмана следует задавать значение PFS1 или P1. Для средней группы (2) Диффи-Хелмана следует задавать значение PFS2 или P2. По умолчанию значение группы сеансовых циклов безопасной пересылки берется из текущих параметров основного режима.
- Если не заданы политики согласования, по умолчанию используются следующие политики
согласования:
- esp[3des,sha]
- esp[3des,md5]
- esp[des,sha]
- esp[des,md5]
- Если параметр -t не задан, используется режим транспорта IPSec.
- Для параметра -a один или несколько способом проверки подлинности разделяются пробелами и задаются в одной из следующих форм:
-
- preshare:"строка_общего_ключа"
- kerberos
- cert:"центр_серт"
Параметр строка_общего_ключа задает строку знаков общего ключа. Параметр центр_серт задает отличительное имя сертификата, отображаемое в окне оснастки «Политики безопасности IP», когда этот сертификат выбран в качестве способа проверки подлинности для правила. Регистр в значениях параметров строка_общего_ключа и центр_серт имеет значение. Название способа можно сокращать, указывая только первую букву: p, k или c. Если параметр -a не задан, по умолчанию используется способ проверки подлинности Kerberos.
- Для параметра -1s один или несколько методов безопасности смены ключа разделяются пробелами и задаются в следующем формате:
-
алг_шифрования-алг_хеширования-номер_группы
где алг_шифрования может иметь значение des или 3des, алг_хеширования может иметь значение md5 или sha, а номер_группы может иметь значение 1 для низкой (1) группы Диффи-Хелмана или 2 для средней (2) группы Диффи-Хелмана. Если параметр -1s не задан, по умолчанию используются методы безопасности смены ключа 3des-sha-2, 3des-md5-2, des-sha-1 и des-md5-1.
- Для параметра -1k можно задать количество сопоставлений безопасности быстрого режима (на что указывает буква Q после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в основном режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в основном режиме сопоставления безопасности сменялся через каждые 10 сопоставлений безопасности быстрого режима и через каждый час, введите:
-
10Q/3600S
Если параметр -1k не задан, по умолчанию смена ключа для основного режима происходит через неограниченное количество сопоставлений безопасности быстрого режима и через каждые 480 минут.
- По умолчанию основной ключ безопасной пересылки отключен.
- Для параметра -1f синтаксис задания определения фильтра основного режима тот же, что и для параметра -f, за исключением того, что нельзя задавать разрешающие фильтры, блокирующие фильтры, порты и протоколы. Если параметр -1f не задан, фильтры основного режима создаются автоматически на основе фильтров быстрого режима.
- Если параметр -1e не задан, срок действия для мягких сопоставлений безопасности равен 300 секунд. Однако, если не задан параметр -soft, мягкие сопоставления безопасности отключены.
- Подтверждение доступно только в динамическом режиме.
- Если не задан ни параметр -dialup, ни параметр -lan, правило будет применено ко всем адаптерам.
Примеры
Чтобы создать правило, использующее заголовок проверки подлинности (AH) с хешированием MD5 для всего входящего и исходящего трафика локального компьютера, введите:
ipseccmd -f 0+* -n ah[md5]
Чтобы создать правило туннеля для трафика с адресов 10.2.1.1 и 10.2.1.13 с использованием конечной точки туннеля 10.2.1.13, режимом туннеля AH с использованием алгоритма хеширования SHA1 и включенным основным ключом безопасной пересылки, а также с выдачей запроса перед созданием правила, введите:
ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c
Чтобы создать правило на компьютере corpsrv1 для всего трафика между компьютерами corpsrv1 и corpsrv2 с использованием сочетания AH и ESP (Encapsulating Security Payload) и проверкой подлинности с помощью общего ключа, введите:
ipseccmd \\corpsrv1 -f corpsrv2+corpsrv1 -n ah[md5]+esp[des,sha] -a p:"corpauth"
Статический режим ipseccmd
Статический режим Ipseccmd служит для создания именованных политик и именованных правил. Используя статический режим, также можно изменять имеющиеся политики и правила, если они созданы с помощью Ipseccmd. Синтаксис статического режима объединяет синтаксис динамического режима с параметрами, позволяющими ему работать на уровне политики.
Синтаксис
ipseccmd параметры_динамического_режима -w тип[ :расположение] -p имя_политики[:интервал_опроса] -r имя_правила [{-x | -y}] [-o]
Параметры
- параметры_динамического_режима
- Обязательный параметр. Задает набор описанных ранее параметров динамического режима для правила IPSec.
- -w тип[:расположение]
- Обязательный параметр. Задает запись политик и правил в локальный реестр, реестр удаленного компьютера или домен Active Directory.
- -p имя_политики[:интервал_опроса]
- Обязательный параметр. Задает имя политики и интервал ее обновления в минутах. Если значение имя_политики содержит пробелы, его следует заключать в кавычки (т. е. "имя_политики").
- -r имя_правила
- Обязательный параметр. Задает имя правила. Если значение имя_правила содержит пробелы, его следует заключать в кавычки (т. е. "имя_правила").
- [{-x | -y}]
- Назначение политики локального реестра. Параметр -x задает назначение политики локального реестра. Параметр -у отменяет назначение политики локального реестра.
- -o
- Удаление правила или политики.
- /?
- Отображение справки в командной строке.
Заметки
- Для параметра -w атрибут тип должен иметь значение reg для выбора реестра локального или удаленного компьютера либо значение ds для выбора Active Directory.
-
- Если атрибут тип имеет значение reg, но значение расположение не задано, правило будет создано в реестре локального компьютера.
- Если атрибут тип имеет значение reg и в качестве атрибута расположение задано имя удаленного компьютера, правило будет создано в реестре этого удаленного компьютера.
- Если атрибут тип имеет значение ds, но значение расположение не задано, правило будет создано в домене Active Directory, в который входит локальный компьютер.
- Если атрибут тип имеет значение ds и в качестве атрибута расположение задан домен Active Directory, правило будет создано в этом домене.
- Если политика, заданная в параметре -p, уже существует, указанное правило будет добавлено в эту политику. В противном случае будет создана политика с указанным именем. Если в качестве интервала_опроса задано целое число, для данной политики будет установлен этот интервал опроса в минутах.
- Если правило, имя которого задано в параметре -r, уже существует, оно будет изменено в соответствии с заданными параметрами. Например, если включить параметр -f для имеющегося правила, будут заменены только фильтры этого правила. Если правила с указанным именем не существует, оно будет создано.
- Если задан параметр -o, все параметры указанной политики будет удалены. Не используйте этот параметр, если имеются другие политики, ссылающиеся на объекты в политике, которую требуется удалить.
-
Использование статического режима отличается от использования динамического режима в одном отношении. В динамическом режиме разрешающие и блокирующие фильтры задаются в списке_фильтров, следующем за параметром -f. В статическом режиме разрешающие и блокирующие фильтры задаются в списке_политик_согласования, следующем за параметром -n. Вдобавок к параметрам динамического режима, описанным в списке_политик_согласования, в статическом режиме также можно использовать параметры block, pass и inpass. В следующей таблице приведена таблица со списком и описанием этих параметров.
Параметр Описание block Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются блокирующими. pass Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются разрешающими. inpass Фильтры входящего трафика позволяют сначала устанавливать небезопасное подключение, но все последующие ответы будут безопасными с использованием IPSec.
Примеры
Чтобы создать политику «Политика домена» с 30-минутным интервалом обновления в домене Active Directory, членом которого является локальный компьютер, с правилом «Безопасные серверы» для трафика между локальным компьютером и компьютерами SecuredServer1 и SecuredServer2 с использованием способов проверки подлинности Kerberos и общим ключом, введите:
ipseccmd -f 0+SecuredServer1 0+SecuredServer2 -a k p:"corpauth" -w ds -p "Политика домена":30 -r "Безопасные серверы"
Чтобы создать и назначить локальную политику «Весь трафик» и правило «Защита трафика», используя отраженный фильтр, всему трафику локального компьютера с использованием общего ключа в качестве способа проверки подлинности, введите:
ipseccmd -f 0+* -a p:"localauth" -w reg -p "Весь трафик" -r "Защита трафика" -x
Режим запроса ipseccmd
Режим запроса Ipseccmd служит для просмотра данных из базы данных политик безопасности IPSec.
Синтаксис
ipseccmd [\\имя_компьютера] show {{[filters] | [ policies] | [auth] | [stats] | [sas]} | all}
Параметры
- \\имя_компьютера
- Имя удаленного компьютера, данные которого требуется просмотреть.
- show
- Обязательный параметр. Запуск Ipseccmd в режиме запроса.
- filters
- Отображение фильтров основного и быстрого режимов.
- policies
- Отображение политик основного и быстрого режимов.
- auth
- Отображение способов проверки подлинности основного режима.
- stats
- Отображение статистики протоколов IKE и IPSec.
- sas
- Отображение сопоставлений безопасности основного и быстрого режимов.
- all
- Отображение всех данных.
- /?
- Отображение справки в командной строке.
Заметки
- Команду Ipseccmd нельзя использовать для отображения данных IPSec на компьютерах, работающих под управлением Windows 2000.
- Если параметр имя_компьютера не задан, отображаются сведения о локальном компьютере.
- Если используется параметр имя_компьютера, его необходимо задавать перед всеми остальными параметрами, а также обладать правами администратора на компьютере, данные которого требуется просмотреть.
Примеры
Для отображения фильтров и политик основного и быстрого режимов локального компьютера введите:
ipseccmd show filters policies
Для отображения всех сведений IPSec удаленного компьютера Server1 введите:
ipseccmd \\Server1 show all
Для вопросов, обсуждений, замечаний, предложений и т. п. можете использовать раздел форума этого сайта (требуется регистрация).
Новый раздел о средствах командной строки в рамках этого же проекта расположен здесь