Ipseccmd

Служит для настройки политик IPSec (Internet Protocol Security) в службе каталогов либо в локальном или удаленном реестре. Ipseccmd является альтернативой для командной строки оснастке консоли MMC «Политики безопасности IP». Ipseccmd имеет три режима: динамический, статический и режим запроса.

Чтобы просмотреть синтаксис команды, щелкните команду:

Динамический режим ipseccmd

Динамический режим Ipseccmd служит для добавления анонимных правил в имеющуюся политику безопасности IPSec путем добавления их в базу данных политик безопасности IPSec. Добавленные правила будут присутствовать даже после перезапуска службы «Службы IPSEC». Преимуществом использования динамического режима является сосуществование добавляемых правил с политикой IPSec домена. По умолчанию используется динамический режим Ipseccmd.

Синтаксис

  • Для добавления правила используется следующий синтаксис:

    ipseccmd [\\имя_компьютера] -f список_фильтров [-n список_политик_согласования] [-t адрес_туннеля] [-a список_способов_пров_подлинности] [-1s список_методов_безопасности] [-1k параметры_смены_ключа] [-1p] [-1f список_фильтров_осн_режима] [-1e срок_действия] [-soft] [-confirm] [{-dialup | -lan}]

  • Для удаления всех динамических политик используется следующий синтаксис:

    ipseccmd -u

Параметры

\\имя_компьютера
Имя локального или удаленного компьютера, на который требуется добавить правило.
-f список_фильтров
Необходим в первом случае. Одно или несколько определений фильтра, разделенных пробелами, для быстрого режима сопоставления безопасности. Каждое определение фильтра включает набор сетевого трафика, к которому относится это правило.
-n список_политик_согласования
Один или несколько методов безопасности, разделенных пробелами, для защиты трафика, определенного списком фильтров.
-t адрес_туннеля
Конечная точка туннеля для режима туннеля, заданная как IP-адрес или имя в системе DNS.
-a список_способов_пров_подлинности
Один или несколько способов проверки подлинности, разделенных пробелами.
-1s список_методов_безопасности
Один или несколько методов обеспечения безопасности при обмене ключами, разделенных пробелами.
-1k параметры_смены_ключа
Параметры смены ключа в основном режиме сопоставления безопасности.
-1p
Включение основного ключа безопасной пересылки.
-1f список_фильтров_осн_режима
Одно или несколько определений фильтров для сопоставлений безопасности основного режима, разделенных пробелами.
-1e срок_действия
Срок действия мягких сопоставлений безопасности в секундах.
-soft
Включение мягких сопоставлений безопасности.
-confirm
Запрос подтверждения перед добавлением правила или политики.
{-dialup | -lan}
Применение правила только к подключениям удаленного доступа и подключениям через телефон либо к подключениям через локальную сеть.
-u
Необходим во втором случае. Удаление всех динамических правил.
/?
Отображение справки в командной строке.

Заметки

  • Команду Ipseccmd нельзя использовать для настройки правил на компьютерах, работающих под управлением Windows 2000.
  • Если не задан параметр имя_компьютера, правило будет применено к локальному компьютеру.
  • Если используется параметр имя_компьютера, его необходимо задавать перед всеми остальными параметрами, а также обладать правами администратора на компьютере, в политику которого требуется добавить правило.
  • Для параметра -f определение фильтра представляет собой один или несколько фильтров, разделенных пробелами и представленных в следующем формате:

    исходный_адрес/исходная_маска:исходный_порт=конечный_адрес/конечная_маска:конечный_порт:протокол

    • Значения исходная_маска, исходный_порт, конечная_маска и конечный_порт являются необязательными. Если они не указаны, в фильтре будет использована маска 255.255.255.255 и все порты.
    • Значение протокол является необязательным. Если оно не указано, в фильтре будут использованы все протоколы. Если протокол задан, необходимо также задать порт либо поставить перед протоколом два двоеточия (::). (См. первый пример для динамического режима.) Протокол должен быть последним элементом фильтра. Можно использовать следующие обозначения протоколов: ICMP, UDP, RAW или TCP.
    • Заменяя знак «равно» (=) знаком «плюс» (+), можно создавать отраженные фильтры.
    • Значения исходный_адрес/исходная_маска или конечный_адрес/конечная_маска можно заменять значениями из следующей таблицы.
      Значение Описание
      0 Локальный адрес или локальные адреса
      * Любой адрес
      DNS-имя DNS-имя домена. Если DNS-имени сопоставлено несколько адресов, оно не учитывается.
      Код GUID Глобальный уникальный идентификатор (GUID) интерфейса локальной сети в форме {12345678-1234-1234-1234-123456789ABC}. Задание кода GUID не поддерживается при использовании параметра -n в статическом режиме.
    • Задав определение фильтра default, можно включить правило отклика по умолчанию.
    • Разрешающий фильтр можно задать, заключив определение фильтра в скобки. Блокирующий фильтр можно задать, заключив определение фильтра в квадратные скобки ([ ]).
    • Если для адресов Интернета используются маски подсети на основе классов (маски подсети, определенные границами октетов), для задания масок подсети можно использовать подстановочные знаки. Например, 10.*.*.* является тем же, что и 10.0.0.0/255.0.0.0, а 10.92.*.* — тем же, что и 10.92.0.0/255.255.0.0.

    Примеры фильтров

    Чтобы создать отраженные фильтры для фильтрации TCP-трафика между Computer1 и Computer2, введите:

    Computer1+Computer2::TCP

    Чтобы создать фильтр для всего TCP-трафика из подсети 172.31.0.0/255.255.0.0, порт 80, в подсеть 10.0.0.0/255.0.0.0, порт 80, введите:

    172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP

    Чтобы создать отраженный фильтр для передачи трафика между локальным IP-адресом и IP-адресом 10.2.1.1, введите:

    (0+10.2.1.1)

  • Для параметра -n одна или несколько политик согласования разделяются пробелами и задаются в одной из следующих форм:
    • esp[алг_шифрования,алг_пров_подлинности]смена_ключаPFS[группа]
    • ah[алг_хеширования]
    • ah[алг_хеширования]+esp[алг_шифрования,алг_пров_подлинности]

    где алг_шифрования может иметь значение none, des или 3des, алг_пров_подлинности может иметь значение none, md5 или sha, а алг_хеширования может иметь значение md5 или sha.

    • Конфигурация esp[none,none] не поддерживается.
    • Параметр sha соответствует алгоритму хеширования SHA1.
    • Параметр смена_ключа необязателен, и он задает количество килобайт (на что указывает буква K после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в быстром режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в быстром режиме сопоставления безопасности сменялся через каждый час и через каждые 5 мегабайт данных, введите:

      3600S/5000K

    • Параметр PFS является необязательным, он включает сеансовые циклы безопасной пересылки. По умолчанию сеансовые циклы безопасной пересылки отключены
    • Параметр группа является необязательным, он включает группу Диффи-Хелмана для сеансовых циклов безопасной пересылки. Для низкой группы (1) Диффи-Хелмана следует задавать значение PFS1 или P1. Для средней группы (2) Диффи-Хелмана следует задавать значение PFS2 или P2. По умолчанию значение группы сеансовых циклов безопасной пересылки берется из текущих параметров основного режима.
    • Если не заданы политики согласования, по умолчанию используются следующие политики согласования:
      • esp[3des,sha]
      • esp[3des,md5]
      • esp[des,sha]
      • esp[des,md5]
  • Если параметр -t не задан, используется режим транспорта IPSec.
  • Для параметра -a один или несколько способом проверки подлинности разделяются пробелами и задаются в одной из следующих форм:
    • preshare:"строка_общего_ключа"
    • kerberos
    • cert:"центр_серт"

    Параметр строка_общего_ключа задает строку знаков общего ключа. Параметр центр_серт задает отличительное имя сертификата, отображаемое в окне оснастки «Политики безопасности IP», когда этот сертификат выбран в качестве способа проверки подлинности для правила. Регистр в значениях параметров строка_общего_ключа и центр_серт имеет значение. Название способа можно сокращать, указывая только первую букву: p, k или c. Если параметр -a не задан, по умолчанию используется способ проверки подлинности Kerberos.

  • Для параметра -1s один или несколько методов безопасности смены ключа разделяются пробелами и задаются в следующем формате:

    алг_шифрования-алг_хеширования-номер_группы

    где алг_шифрования может иметь значение des или 3des, алг_хеширования может иметь значение md5 или sha, а номер_группы может иметь значение 1 для низкой (1) группы Диффи-Хелмана или 2 для средней (2) группы Диффи-Хелмана. Если параметр -1s не задан, по умолчанию используются методы безопасности смены ключа 3des-sha-2, 3des-md5-2, des-sha-1 и des-md5-1.

  • Для параметра -1k можно задать количество сопоставлений безопасности быстрого режима (на что указывает буква Q после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в основном режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в основном режиме сопоставления безопасности сменялся через каждые 10 сопоставлений безопасности быстрого режима и через каждый час, введите:

    10Q/3600S

    Если параметр -1k не задан, по умолчанию смена ключа для основного режима происходит через неограниченное количество сопоставлений безопасности быстрого режима и через каждые 480 минут.

  • По умолчанию основной ключ безопасной пересылки отключен.
  • Для параметра -1f синтаксис задания определения фильтра основного режима тот же, что и для параметра -f, за исключением того, что нельзя задавать разрешающие фильтры, блокирующие фильтры, порты и протоколы. Если параметр -1f не задан, фильтры основного режима создаются автоматически на основе фильтров быстрого режима.
  • Если параметр -1e не задан, срок действия для мягких сопоставлений безопасности равен 300 секунд. Однако, если не задан параметр -soft, мягкие сопоставления безопасности отключены.
  • Подтверждение доступно только в динамическом режиме.
  • Если не задан ни параметр -dialup, ни параметр -lan, правило будет применено ко всем адаптерам.

Примеры

Чтобы создать правило, использующее заголовок проверки подлинности (AH) с хешированием MD5 для всего входящего и исходящего трафика локального компьютера, введите:

ipseccmd -f 0+* -n ah[md5]

Чтобы создать правило туннеля для трафика с адресов 10.2.1.1 и 10.2.1.13 с использованием конечной точки туннеля 10.2.1.13, режимом туннеля AH с использованием алгоритма хеширования SHA1 и включенным основным ключом безопасной пересылки, а также с выдачей запроса перед созданием правила, введите:

ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c

Чтобы создать правило на компьютере corpsrv1 для всего трафика между компьютерами corpsrv1 и corpsrv2 с использованием сочетания AH и ESP (Encapsulating Security Payload) и проверкой подлинности с помощью общего ключа, введите:

ipseccmd \\corpsrv1 -f corpsrv2+corpsrv1 -n ah[md5]+esp[des,sha] -a p:"corpauth"

Статический режим ipseccmd

Статический режим Ipseccmd служит для создания именованных политик и именованных правил. Используя статический режим, также можно изменять имеющиеся политики и правила, если они созданы с помощью Ipseccmd. Синтаксис статического режима объединяет синтаксис динамического режима с параметрами, позволяющими ему работать на уровне политики.

Синтаксис

ipseccmd параметры_динамического_режима -w тип[:расположение] -p имя_политики[:интервал_опроса] -r имя_правила [{-x | -y}] [-o]

Параметры

параметры_динамического_режима
Обязательный параметр. Задает набор описанных ранее параметров динамического режима для правила IPSec.
-w тип[:расположение]
Обязательный параметр. Задает запись политик и правил в локальный реестр, реестр удаленного компьютера или домен Active Directory.
-p имя_политики[:интервал_опроса]
Обязательный параметр. Задает имя политики и интервал ее обновления в минутах. Если значение имя_политики содержит пробелы, его следует заключать в кавычки (т. е. "имя_политики").
-r имя_правила
Обязательный параметр. Задает имя правила. Если значение имя_правила содержит пробелы, его следует заключать в кавычки (т. е. "имя_правила").
[{-x | -y}]
Назначение политики локального реестра. Параметр -x задает назначение политики локального реестра. Параметр отменяет назначение политики локального реестра.
-o
Удаление правила или политики.
/?
Отображение справки в командной строке.

Заметки

  • Для параметра -w атрибут тип должен иметь значение reg для выбора реестра локального или удаленного компьютера либо значение ds для выбора Active Directory.
    • Если атрибут тип имеет значение reg, но значение расположение не задано, правило будет создано в реестре локального компьютера.
    • Если атрибут тип имеет значение reg и в качестве атрибута расположение задано имя удаленного компьютера, правило будет создано в реестре этого удаленного компьютера.
    • Если атрибут тип имеет значение ds, но значение расположение не задано, правило будет создано в домене Active Directory, в который входит локальный компьютер.
    • Если атрибут тип имеет значение ds и в качестве атрибута расположение задан домен Active Directory, правило будет создано в этом домене.
  • Если политика, заданная в параметре -p, уже существует, указанное правило будет добавлено в эту политику. В противном случае будет создана политика с указанным именем. Если в качестве интервала_опроса задано целое число, для данной политики будет установлен этот интервал опроса в минутах.
  • Если правило, имя которого задано в параметре -r, уже существует, оно будет изменено в соответствии с заданными параметрами. Например, если включить параметр -f для имеющегося правила, будут заменены только фильтры этого правила. Если правила с указанным именем не существует, оно будет создано.
  • Если задан параметр -o, все параметры указанной политики будет удалены. Не используйте этот параметр, если имеются другие политики, ссылающиеся на объекты в политике, которую требуется удалить.
  • Использование статического режима отличается от использования динамического режима в одном отношении. В динамическом режиме разрешающие и блокирующие фильтры задаются в списке_фильтров, следующем за параметром -f. В статическом режиме разрешающие и блокирующие фильтры задаются в списке_политик_согласования, следующем за параметром -n. Вдобавок к параметрам динамического режима, описанным в списке_политик_согласования, в статическом режиме также можно использовать параметры block, pass и inpass. В следующей таблице приведена таблица со списком и описанием этих параметров.

    Параметр Описание
    block Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются блокирующими.
    pass Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются разрешающими.
    inpass Фильтры входящего трафика позволяют сначала устанавливать небезопасное подключение, но все последующие ответы будут безопасными с использованием IPSec.

Примеры

Чтобы создать политику «Политика домена» с 30-минутным интервалом обновления в домене Active Directory, членом которого является локальный компьютер, с правилом «Безопасные серверы» для трафика между локальным компьютером и компьютерами SecuredServer1 и SecuredServer2 с использованием способов проверки подлинности Kerberos и общим ключом, введите:

ipseccmd -f 0+SecuredServer1 0+SecuredServer2 -a k p:"corpauth" -w ds -p "Политика домена":30 -r "Безопасные серверы"

Чтобы создать и назначить локальную политику «Весь трафик» и правило «Защита трафика», используя отраженный фильтр, всему трафику локального компьютера с использованием общего ключа в качестве способа проверки подлинности, введите:

ipseccmd -f 0+* -a p:"localauth" -w reg -p "Весь трафик" -r "Защита трафика" -x

Режим запроса ipseccmd

Режим запроса Ipseccmd служит для просмотра данных из базы данных политик безопасности IPSec.

Синтаксис

ipseccmd [\\имя_компьютера] show {{[filters] | [policies] | [auth] | [stats] | [sas]} | all}

Параметры

\\имя_компьютера
Имя удаленного компьютера, данные которого требуется просмотреть.
show
Обязательный параметр. Запуск Ipseccmd в режиме запроса.
filters
Отображение фильтров основного и быстрого режимов.
policies
Отображение политик основного и быстрого режимов.
auth
Отображение способов проверки подлинности основного режима.
stats
Отображение статистики протоколов IKE и IPSec.
sas
Отображение сопоставлений безопасности основного и быстрого режимов.
all
Отображение всех данных.
/?
Отображение справки в командной строке.

Заметки

  • Команду Ipseccmd нельзя использовать для отображения данных IPSec на компьютерах, работающих под управлением Windows 2000.
  • Если параметр имя_компьютера не задан, отображаются сведения о локальном компьютере.
  • Если используется параметр имя_компьютера, его необходимо задавать перед всеми остальными параметрами, а также обладать правами администратора на компьютере, данные которого требуется просмотреть.

Примеры

Для отображения фильтров и политик основного и быстрого режимов локального компьютера введите:

ipseccmd show filters policies

Для отображения всех сведений IPSec удаленного компьютера Server1 введите:

ipseccmd \\Server1 show all

 
Доставка в
 
Тернопіль тернополь бровары черкассах котовск глухов токмак запорожье крым бердичев винница боярка Бабанка Байбузы Балаклея Белозорье Будище Бужанка Бузуков Валява Васильков Ватутино Вербовец Вергуны Верхнячка Вильховец Вознесенское Гельмязов Геронимовка Городище Дзензеловка Драбов Дубиевка Ерки Жашков Звенигородка Золотоноша Иваньки Ирдынь Ирклиев Каменка Канев -- Александровка Бабинцы Багрин Барышевка Безпятное Белая Церковь Белогородка Березань Беспечная Блиставица Богдановка Богуслав Борисполь Боровая Бородянка Бортничи Боярка Бровары Бузовая Буча Васильков Вишневое Володарка Ворзель Вороньков Вышгород Гатное Глеваха Гнидын Гоголев Гореничи Горенка Гостомель Гребенки Григорьевка Гуровщина Дениховка Диброва Дмитровка Довгалевское Дослидницкое Дымер Жовтневое Зазимье Згуровка Иванков Ирпень Йосиповка Кагарлык Калиновка Капитановка Кашперовка Княжичи Кодра Козин Коцюбинское Красиловка Красное Крюковщина Ксаверовка Летки Липовка Лука Лукьяновка Макаров Мархаловка Мироновка Мотыжин Музычи Немешаево Новоселки Новые безрадичи Новые петровцы Обухов Озирне Паляничинцы Переяслав-Хмельницкий Песковка Петровское Петропавловская Борщаговка Пилиповка Пилипча Плесецкое Подгорцы Полесское Процев Пустоваровка Пуховка Ракитное Ржищев Рогозов Рожны Росава Рославичи Саливонки Самгородок Сеньковка Ситняки Сквира Софиевская Борщаговка Стайки Тарасовка Тараща Терезино Тетиев Требухов Узин Украинка Устимовка Фастов Фесюри Фурсы Ходосовка Хотов Чабаны Червоная слобода Чернобыль Черногородка Чубинское Шамраевка Шибене Шкаровка Щасливое Юрковка Юровка Яготин Ясногородка Киев

Статистика  
 

Онлайн всего: 2
Гостей: 2
Пользователей: 0