Η κύρια χαρακτηριστικά του IPSec είναι:
- Authentication? Προστατεύει τον ιδιωτικό και το ιδιωτικό δίκτυο δεδομένων που περιέχει. IPSec διασφαλίζει ιδιωτικά δεδομένα από τον άνθρωπο-in-the-μεσαία επιθέσεις, από εισβολείς προσπαθούν να έχουν πρόσβαση στο δίκτυο, καθώς και από έναν εισβολέα αλλάζει το περιεχόμενο των πακέτων δεδομένων.
- Κρυπτογράφηση? Κρύβει το πραγματικό περιεχόμενο των πακέτων δεδομένων, έτσι ώστε να μην μπορεί να ερμηνευθεί από παράνομη μέρη.
IPSec μπορούν να χρησιμοποιηθούν για το φιλτράρισμα πακέτων δυνατότητες. Μπορεί, επίσης, τη γνησιότητα της κυκλοφορίας μεταξύ δύο φιλοξενεί και κρυπτοθετούν την κίνηση μεταξύ της φιλοξενεί. IPSec μπορεί να χρησιμοποιηθεί για τη δημιουργία ενός εικονικού ιδιωτικού δικτύου (VPN). IPSec μπορεί επίσης να χρησιμοποιηθεί για να επιτρέψει την επικοινωνία μεταξύ απομακρυσμένων γραφείων και πελάτες απομακρυσμένης πρόσβασης μέσω του Internet.
IPSec λειτουργεί στο επίπεδο δικτύου για την παροχή από άκρο σε άκρο κρυπτογράφησης. Αυτό ουσιαστικά σημαίνει ότι τα δεδομένα είναι κρυπτογραφημένα στην πηγή υπολογιστή αποστολή των δεδομένων. Όλα τα ενδιάμεσα συστήματα χειρίζονται την κρυπτογραφημένη μέρος της συσκευασίας, όπως το ωφέλιμο φορτίο. Ενδιάμεσα συστήματα όπως δρομολογητές απλώς προωθήσει το πακέτο στο τέλος προορισμού. Ενδιάμεσα συστήματα δεν αποκρυπτογραφήσει τα κρυπτογραφημένα δεδομένα. Τα κρυπτογραφημένα δεδομένα αποκρυπτογραφούνται μόνο όταν φθάσει στον τόπο προορισμού.
IPSec διασυνδέσεις του με το πρωτόκολλο TCP / UDP μεταφορών στρώμα στρώμα και το Διαδίκτυο, και εφαρμόζεται με διαφάνεια στις αιτήσεις. IPSec είναι διαφανής για τους χρήστες επίσης. Αυτό ουσιαστικά σημαίνει ότι το IPSec μπορεί να παράσχει εγγύηση για τα περισσότερα από τα πρωτόκολλα εντός των πρωτοκόλλων TCP / IP. Όταν πρόκειται για αιτήσεις, όλες οι εφαρμογές που χρησιμοποιούν το πρωτόκολλο TCP / IP μπορούν να απολαύσουν τα χαρακτηριστικά ασφαλείας του IPSec. Δεν χρειάζεται να ρυθμίσετε την ασφάλεια για κάθε ειδικό πρωτόκολλο TCP / IP βασίζεται εφαρμογή. Με τη χρήση κανόνων και φίλτρα, IPSec μπορεί να λάβει την κυκλοφορία του δικτύου και επιλέξτε την απαιτούμενη ασφάλεια τα πρωτόκολλα, τα οποία καθορίζουν αλγορίθμων με τη χρήση, και μπορεί να εφαρμόζεται κρυπτογραφικά κλειδιά που απαιτούνται από οποιαδήποτε από τις υπηρεσίες.
Τα χαρακτηριστικά ασφαλείας και τις δυνατότητες του IPSec μπορεί να χρησιμοποιηθεί για τη διασφάλιση του ιδιωτικού δικτύου και του ιδιωτικού εμπιστευτικά δεδομένα από τις ακόλουθες
- Άρνησης εξυπηρέτησης (DoS) επιθέσεις
- Δεδομένα κλοπών.
- Τα στοιχεία της διαφθοράς.
- Κλοπή πιστοποιήσεις χρήστη
Στον Windows Server 2003, IPSec χρησιμοποιεί το Authentication Header (AH) πρωτοκόλλου και Encapsulating Security Payload (ESP) το πρωτόκολλο για την παροχή ασφάλειας των δεδομένων σχετικά με:
- Οι υπολογιστές-πελάτες
- Domain servers
- Εταιρική Workgroups
- Τοπικά Δίκτυα (LANs)
- Δίκτυα ευρείας περιοχής (WANs)
- Απομακρυσμένη γραφεία
Οι λειτουργίες και τα χαρακτηριστικά ασφαλείας που παρέχονται από το IPSec συνοψίζονται παρακάτω:
- Authentication? Ψηφιακής υπογραφής χρησιμοποιείται για να εξακριβώσει την ταυτότητα του αποστολέα της πληροφορίας. IPSec μπορεί να χρησιμοποιήσει Kerberos, ένα κλειδί, ή για τα ψηφιακά πιστοποιητικά γνησιότητας.
- Ακεραιότητα των δεδομένων? Ένα hash αλγόριθμος χρησιμοποιείται για να εξασφαλίσει ότι τα δεδομένα δεν είναι παραποιηθεί. Μια checksum ονομάζεται hash μηνυμάτων κωδικό (hmac) υπολογίζεται για τα δεδομένα του πακέτου. Όταν ένα πακέτο τροποποιείται κατά τη μετακόμιση, το υπολογιζόμενο hmac αλλαγές. Η αλλαγή αυτή θα ανιχνευθούν από την παραλαβή του υπολογιστή.
- Τα δεδομένα της ιδιωτικής ζωής? Αλγόριθμους κρυπτογράφησης που χρησιμοποιούνται για να εξασφαλιστεί ότι τα δεδομένα που διαβιβάζονται είναι undecipherable.
-
Anti-replay? Αποτρέπει έναν εισβολέα από resending πακέτα, σε μια προσπάθεια να αποκτήσουν πρόσβαση στο ιδιωτικό δίκτυο.
- Nonrepudiation? Δημόσιο κλειδί ψηφιακές υπογραφές χρησιμοποιούνται για να αποδείξουν μήνυμα προέλευσης.
- Δυναμική rekeying? Πλήκτρα μπορούν να δημιουργηθούν κατά τη διάρκεια της αποστολής για την προστασία των δεδομένων τους τομείς της επικοινωνίας με διαφορετικά κλειδιά.
- Βασικά γενιάς? Το Diffie-Hellman κλειδί συμφωνία αλγόριθμος χρησιμοποιείται για να επιτρέπει σε δύο υπολογιστές να ανταλλάσσουν ένα κοινό κλειδί κρυπτογράφησης.
- Φιλτράρισμα πακέτων IP? Το φιλτράρισμα πακέτων ικανότητα του IPSec μπορεί να χρησιμοποιηθεί για το φιλτράρισμα και αποκλεισμού συγκεκριμένων τύπων κίνησης, με βάση ένα από τα ακόλουθα στοιχεία ή με συνδυασμό αυτών:
- Διευθύνσεις IP
- Πρωτόκολλα
- Λιμένες
Τι καινούργιο προστέθηκε στο Windows Server 2003 IPSec
Μερικά νέα χαρακτηριστικά IPSec έχουν συμπεριληφθεί στο Windows Server 2003, μαζί με βελτιώσεις σε ορισμένα χαρακτηριστικά IPSec που υπήρχε κατά τα προηγούμενα λειτουργικά συστήματα Windows:
- Windows Server 2003 περιλαμβάνει τη νέα ΠΕ Ασφαλείας Monitor εργαλείο το οποίο υλοποιείται ως μια MMC snap-in. Η IP Security Monitor εργαλείο παρέχει αυξημένη ασφάλεια IPSec παρακολούθησης. Με την IP Security Monitor εργαλείο, μπορείτε να εκτελέσετε τις ακόλουθες διοικητικές δραστηριότητες:
- Προσαρμογή της ΠΕ Ασφαλείας Monitor απεικόνιση
- Παρακολούθηση IPSec πληροφορίες για τον τοπικό υπολογιστή.
- Παρακολούθηση IPSec πληροφορίες σε απομακρυσμένους υπολογιστές.
- Δείτε τα στατιστικά στοιχεία IPSec.
-
Δείτε πληροφορίες σχετικά με τις πολιτικές IPSec
- Δείτε ενώσεις ασφάλειας πληροφοριών.
- Δείτε γενικής φίλτρα
- Δείτε τα ειδικά φίλτρα
- Ψάξε για ειδικά φίλτρα με βάση τη διεύθυνση IP
- Μπορείτε να ρυθμίσετε το IPSec χρησιμοποιώντας το Netsh της γραμμής χρησιμότητας. Η εντολή netsh-line αντικαθιστά τη χρησιμότητα που είχε χρησιμοποιηθεί στο παρελθόν Ipsecpol.exe της γραμμής χρησιμότητας.
- IPSec υποστηρίζει τη νέα Προκύπτον σύνολο πολιτικής (RSoP) χαρακτηριστικό του Windows Server 2003. Η Προκύπτον σύνολο πολιτικών (RSoP) αριθμομηχανή μπορεί να χρησιμοποιηθεί για να καθορίσουν τις πολιτικές που έχουν εφαρμοστεί σε ένα συγκεκριμένο χρήστη ή υπολογιστή. Προκύπτον σύνολο πολιτικής (RSoP) όλα τα ποσά ομάδα πολιτικών που εφαρμόζονται σε υπολογιστή του χρήστη και σε έναν τομέα. Αυτό περιλαμβάνει όλα τα φίλτρα και οι εξαιρέσεις. Μπορείτε να χρησιμοποιήσετε τη δυνατότητα μέσω της Προκύπτον σύνολο πολιτικής (RSoP) Wizard ή από την εντολή γραμμής για να προβάλετε το IPSec πολιτική που εφαρμόζεται.
- IPSec ολοκλήρωση με Active Directory, σας δίνει τη δυνατότητα να διαχειρίζονται κεντρικά πολιτικών ασφάλειας.
- Kerberos 5 authentication είναι η προεπιλεγμένη μέθοδο ελέγχου που χρησιμοποιείται από το IPSec πολιτικές για την επαλήθευση της ταυτότητας των υπολογιστών.
- IPSec είναι ανάδρομα συμβατές με το πλαίσιο ασφαλείας των Windows 2000.
-
Αν μια τοπική πολιτική ή Active Directory βασίζονται πολιτική δεν μπορεί να εφαρμοστεί σε έναν υπολογιστή, θα έχει πλέον τη δυνατότητα δημιουργίας μιας διαρκούς πολιτικής για το συγκεκριμένο υπολογιστή. Τα χαρακτηριστικά των έμμονων πολιτικές είναι οι εξής:
- Έμμονοι πολιτικές μπορούν να ρυθμιστούν μόνο μέσω του Netsh της γραμμής χρησιμότητας.
- Έμμονοι πολιτικές είναι πάντοτε θετική.
- Έμμονοι πολιτικών δεν μπορεί να παρακαμφθεί.
- Στον Windows Server 2003 IPSec αναπτύξεις, μόνο Internet Key Exchange (IKE) η κυκλοφορία απαλλάσσονται από το IPSec. Προηγουμένως, Resource Reservation Protocol (RSVP) κυκλοφορίας, την κυκλοφορία του Kerberos, ήταν και IKE κυκλοφορίας εξαιρούνται από το IPSec.
- IPSec στα Windows Server 2003 περιλαμβάνει υποστήριξη για την Ομάδα 3 2048-bit Diffie-Hellman Key Exchange. Η Ομάδα 3 κλειδί είναι πολύ ισχυρότερη και πιο πολύπλοκη από την προηγούμενη ομάδα 2 1024-bit Diffie-Hellman Key Exchange. Εάν, ωστόσο, θα πρέπει τα πίσω συμβατότητα με τα Windows 2000 και Windows XP, τότε θα πρέπει να χρησιμοποιούν την ομάδα 2 1024-bit Diffie-Hellman Key Exchange.
-
IPSec ESP packets μπορεί να περάσει πάνω από Network Address Translation Authentication Header (AH): Αυτό είναι ένα από τα βασικά πρωτόκολλα ασφάλειας που χρησιμοποιούνται από το IPSec. ΑΧ παρέχει στοιχεία γνησιότητας και ακεραιότητας, και συνεπώς μπορεί να χρησιμοποιηθεί μόνο του, εφόσον τα στοιχεία της ακεραιότητας και της αυθεντικότητας των σχετικών παραγόντων είναι απόρρητο και δεν είναι. Αυτό συμβαίνει επειδή ΑΧ δεν προβλέπει για την κρυπτογράφηση, και συνεπώς δεν μπορεί να παράσχει στοιχεία εμπιστευτικότητας. Authentication Header (AH) και Encapsulating Security Payload (ESP) είναι τα κύρια πρωτόκολλα ασφαλείας που χρησιμοποιούνται στο IPSec. Οι εν λόγω πρωτοκόλλων ασφαλείας και μπορούν να χρησιμοποιηθούν χωριστά ή από κοινού.
- Encapsulating Security Payload (ESP): Αυτό είναι ένα από τα βασικά πρωτόκολλα ασφάλειας που χρησιμοποιούνται από το IPSec. ESP διασφαλίζει το απόρρητο των δεδομένων μέσω της κρυπτογράφησης, της ακεραιότητας των δεδομένων, των δεδομένων, και άλλες λειτουργίες που υποστηρίζουν την προαιρετική αντι-replay υπηρεσίες. Για να διασφαλιστεί η εμπιστευτικότητα των δεδομένων, μια σειρά από συμμετρική αλγόριθμους κρυπτογράφησης που χρησιμοποιούνται.
- Πιστοποιητικό αρχές (ΑΑ): Αυτή είναι μια οντότητα η οποία παράγει και επικυρώνει τα ψηφιακά πιστοποιητικά. Η CA προσθέτει τη δική του υπογραφή με το δημόσιο κλειδί του πελάτη. ΑΠ εκδίδει και ανακαλεί ψηφιακά πιστοποιητικά.
- Diffie-Hellman ομάδες: Diffie-Hellman Key συμφωνία επιτρέπει σε δύο υπολογιστές να δημιουργήσουν ένα κοινό ιδιωτικό κλειδί που πιστοποιεί κρυπτογραφεί τα δεδομένα και ένα IP datagram. Οι διάφορες ομάδες Diffie-Hellman παρατίθενται εδώ:
- Ομάδα 1? Προβλέπει 768-bit κλειδί δύναμη
- Ομάδα 2? Προβλέπει 1024-bit κλειδί δύναμη
- Ομάδα 3? Προβλέπει 2048-bit κλειδί δύναμη
-
Internet Key Exchange (IKE): Το πρωτόκολλο IKE χρησιμοποιείται από υπολογιστές για να δημιουργήσει μια ένωση ασφάλειας (Α.Ε.) και για την ανταλλαγή πληροφοριών για τη δημιουργία κλειδιών Diffie-Hellman. IKE διαχειρίζεται και ανταλλαγές κλειδιά κρυπτογραφίας, έτσι ώστε οι υπολογιστές μπορούν να έχουν ένα κοινό σύνολο των ρυθμίσεων ασφαλείας. Διαπραγμάτευση επί των οποίων εμφανίζεται μέθοδο, και αλγόριθμο κρυπτογράφησης και hashing αλγόριθμος θα χρησιμοποιούν οι υπολογιστές.
- IPSec Driver: Η IPSec οδηγός εκτελεί μια σειρά από ενέργειες που θα τους εξασφαλίζει ασφαλή δίκτυο επικοινωνίας, συμπεριλαμβανομένων των εξής:
- Δημιουργεί IPSec πακέτα
- Δημιουργεί checksums.
- Αρχίζει το IKE επικοινωνίας
- Προσθέτει την κεφαλίδες AH και ESP
- Κρυπτογραφεί τα δεδομένα πριν να διαβιβάζονται.
- Υπολογίζει hashes και ελέγχου για τα εισερχόμενα πακέτα.
- IPSec πολιτικές: πολιτικές IPSec ορίζουν πότε και πώς τα δεδομένα θα πρέπει να διασφαλιστεί, και η οποία ορίζει τις μεθόδους ασφαλείας που θα χρησιμοποιείται για τη διασφάλιση των δεδομένων. Πολιτικές IPSec περιέχουν ορισμένα στοιχεία:
- Δράσεις.
- Κανόνες
- Διηθείται καταλόγους
- Διηθείται δράσεις.
- Παράγοντα πολιτικής IPSec: Αυτή είναι μια υπηρεσία που λειτουργεί σε έναν υπολογιστή που εκτελεί Windows Server 2003 που έχει πρόσβαση πολιτική IPSec πληροφορίες. Ο παράγοντας πολιτικής IPSec προσβάσεις την πολιτική IPSec πληροφορίες είτε στο μητρώο των Windows ή στο Active Directory.
-
Oakley βασικό προσδιορισμό πρωτόκολλο: Η Diffie-Hellman αλγόριθμος χρησιμοποιείται για δύο authenticated φορείς να διαπραγματεύονται και να είναι σε συμφωνία σχετικά με ένα μυστικό κλειδί.
- Ασφάλεια σύνδεσης (Α.Ε.): Μια Α.Ε. είναι μια σχέση μεταξύ των διατάξεων που καθορίζουν τον τρόπο με τον οποίο χρησιμοποιούν τις υπηρεσίες ασφάλειας και τις ρυθμίσεις.
- Triple Data Encryption (3DES): Αυτό είναι ένα ισχυρό αλγόριθμο κρυπτογράφησης που χρησιμοποιείται στις μηχανές των πελατών εκτελεί τα Windows, και Windows Server 2003 σε υπολογιστές. 3DES χρησιμοποιεί 56-bit κλειδιά για την κρυπτογράφηση.
Κατανόηση Πώς IPSec Έργων
Μια ένωση ασφάλειας (SA), πρέπει να πρώτα να καθιερωθεί μεταξύ δύο υπολογιστών πριν τα δεδομένα μπορεί να περάσει με ασφάλεια μεταξύ των υπολογιστών. Μια Ασφάλεια σύνδεσης (Α.Ε.) είναι μια σχέση μεταξύ των διατάξεων που καθορίζουν τον τρόπο με τον οποίο χρησιμοποιούν τις υπηρεσίες ασφάλειας και τις ρυθμίσεις. Η εταιρεία παρέχει τις απαραίτητες πληροφορίες για δύο υπολογιστές να επικοινωνούν με ασφάλεια. Internet Security Association και Key Management Protocol (ISAKMP) και το πρωτόκολλο IKE είναι ο μηχανισμός που επιτρέπει στους δύο υπολογιστές για την δημιουργία συσχετίσεων ασφαλείας. Όταν μια Α.Ε. έχει συσταθεί μεταξύ δύο υπολογιστών, οι υπολογιστές, για το οποίο διαπραγματεύεται τις ρυθμίσεις ασφαλείας να χρησιμοποιήσει για την εξασφάλιση των δεδομένων. Ένα κλειδί ασφαλείας ανταλλάσσονται και να χρησιμοποιούνται για να επιτρέψουν στους υπολογιστές να επικοινωνούν με ασφάλεια.
Η ασφάλεια σύνδεσης (Α.Ε.) περιλαμβάνει τα εξής:
- Η πολιτική συμφωνία, η οποία υπαγορεύει την οποία αλγορίθμων και βασικές μήκη των δύο υπολογιστές θα χρησιμοποιήσει για την εξασφάλιση των δεδομένων.
- Η ασφάλεια πλήκτρα χρησιμοποιούνται για την ασφαλή επικοινωνία δεδομένων.
-
Ο δείκτης παραμέτρων ασφαλείας (SPI).
Με το IPSec, δύο χωριστές εταιρείες εποπτείας που καθορίζονται για κάθε κατεύθυνση της επικοινωνίας δεδομένων:
- Μία Α.Ε. διασφαλίζει την εισερχόμενη κίνηση.
- Μία Α.Ε. διασφαλίζει την εξερχόμενη κυκλοφορία.
Εκτός από τα παραπάνω, υπάρχει ένα μοναδικό Α.Ε. για κάθε IPSec πρωτόκολλο ασφαλείας. Συνεπώς, υπάρχουν βασικά δύο είδη των εταιρειών εποπτείας:
- ISAKMP Α.Ε.: Κατά την κυκλοφορία δύο κατευθύνσεων και IPSec πρέπει να καθιερώσει μια σύνδεση μεταξύ των υπολογιστών, μια ISAKMP Α.Ε. είναι εγκατεστημένος. Η ISAKMP Α.Ε. ορίζει τις παραμέτρους και λαβές ασφαλείας μεταξύ των δύο υπολογιστών. Οι δύο υπολογιστές συμφωνήσει σε μια σειρά από στοιχεία για τον καθορισμό της ISAKMP Α.Ε.:
- Προσδιορίστε τις συνδέσεις που πρέπει να πιστοποιηθεί.
- Προσδιορίστε τον αλγόριθμο κρυπτογράφησης στη χρήση.
- Προσδιορίζεται το μήνυμα αλγόριθμος για την επαλήθευση της ακεραιότητας.
Μετά από τα παραπάνω στοιχεία αποτελούν αντικείμενο διαπραγμάτευσης μεταξύ των δύο υπολογιστές, οι υπολογιστές χρησιμοποιούν το πρωτόκολλο Oakley να συμφωνήσουν για την ISAKMP πασπαρτού. Αυτό είναι το κύριο κλειδί το οποίο από κοινού θα πρέπει να χρησιμοποιούνται με τα ανωτέρω στοιχεία που θα τους εξασφαλίζει ασφαλή επικοινωνία δεδομένων.
Μετά από ένα ασφαλές κανάλι επικοινωνίας μεταξύ των δύο υπολογιστές, οι υπολογιστές αρχίσει να διαπραγματεύεται τα ακόλουθα στοιχεία:
- Ελέγξτε εάν η Authentication Header (AH) IPSec πρωτόκολλο θα πρέπει να χρησιμοποιείται για τη σύνδεση.
-
Προσδιορίζεται το πρωτόκολλο το οποίο θα πρέπει να χρησιμοποιείται με το πρωτόκολλο ΑΧ για τη σύνδεση.
- Ελέγξτε εάν η Encapsulating Security Payload (ESP) IPSec πρωτόκολλο θα πρέπει να χρησιμοποιείται για τη σύνδεση.
- Προσδιορίστε τον αλγόριθμο κρυπτογράφησης που θα πρέπει να χρησιμοποιείται με το ESP πρωτόκολλο για τη σύνδεση.
- IPSec SA: IPSec εταιρείες εποπτείας αφορούν την IPSec τούνελ και πακέτο IP, και να καθορίσει τις παραμέτρους ασφαλείας για χρήση κατά τη διάρκεια μιας σύνδεσης. Η IPSec SA προκύπτει από τα ανωτέρω τέσσερα στοιχεία μόνο αντικείμενο διαπραγμάτευσης μεταξύ των δύο υπολογιστών.
Για την εξασφάλιση και προστασία των δεδομένων, IPSec χρησιμοποιεί κρυπτογράφηση για να παρέχει τις ακόλουθες δυνατότητες:
- Authentication: Authentication ασχολείται με την επαλήθευση της ταυτότητας του υπολογιστή αποστολή των δεδομένων, ή την ταυτότητα του υπολογιστή που λαμβάνει τα δεδομένα. Οι μέθοδοι που IPSec μπορεί να χρησιμοποιήσει για τον έλεγχο ταυτότητας του αποστολέα ή παραλήπτη των δεδομένων είναι:
- Τα ψηφιακά πιστοποιητικά: Παρέχει το πιο ασφαλές μέσο ταυτοποίησης ταυτότητες. Πιστοποιητικό αρχές (ΑΑ), όπως το Netscape, να αναθέτει, VeriSign, της Microsoft και παρέχουν τα πιστοποιητικά που μπορούν να χρησιμοποιηθούν για σκοπούς επαλήθευσης ταυτότητας.
- Τον έλεγχο ταυτότητας Kerberos: Ένα μειονέκτημα της χρήσης του πρωτοκόλλου Kerberos V5 είναι ότι η ταυτότητα του υπολογιστή παραμένει χωρίς κρυπτογράφηση μέχρι το σημείο, ότι το σύνολο του ωφέλιμου φορτίου είναι κρυπτογραφημένα σε έλεγχο ταυτότητας.
-
Η προ-κλειδιά μοιράζονται? Θα πρέπει να χρησιμοποιούνται όταν δεν της πρώην μεθόδους μπορούν να χρησιμοποιηθούν.
Anti-replay διασφαλίζει ότι τα στοιχεία γνησιότητας δεν μπορεί να ερμηνευθεί ως έχει σταλεί μέσω του δικτύου. Εκτός από την επαλήθευση ταυτότητας, IPSec μπορεί να προσφέρει nonrepudiation. Με nonrepudiation, ο αποστολέας των δεδομένων δεν μπορεί σε μεταγενέστερο στάδιο στην πραγματικότητα αρνείται την αποστολή των δεδομένων.
- Ακεραιότητα των δεδομένων: Τα δεδομένα ακεραιότητας ασχολείται με την εξασφάλιση ότι τα δεδομένα που λαμβάνονται κατά τον αποδέκτη δεν έχει πειραχτεί. A hashing αλγόριθμος χρησιμοποιείται για να διασφαλιστεί ότι τα δεδομένα δεν είναι τροποποιημένα ως έχει περάσει πάνω από το δίκτυο. Το hashing αλγόριθμοι που μπορούν να χρησιμοποιηθούν από το IPSec είναι:
- Μήνυμα Digest (MD5)? Μονόδρομο hash που καταλήγει σε 128-bit hash που χρησιμοποιείται για τον έλεγχο της ακεραιότητας.
- Secure Hash Algorithm 1 (SHA1)? 160-bit, ένα μυστικό κλειδί για να δημιουργηθεί μια 160-bit μήνυμα χωνέψει το οποίο παρέχει μεγαλύτερη ασφάλεια από ό, τι MD5.
- Εμπιστευτικότητα των δεδομένων: IPSec διασφαλίζει την εμπιστευτικότητα των δεδομένων με την εφαρμογή αλγορίθμων κρυπτογράφησης στα δεδομένα πριν αποσταλεί μέσω του δικτύου. Εάν τα δεδομένα είναι υποκλαπούν, η κρυπτογράφηση διασφαλίζει ότι ο εισβολέας δεν μπορεί να ερμηνεύσει τα δεδομένα. Για να διασφαλιστεί η εμπιστευτικότητα των δεδομένων, το IPSec μπορεί να χρησιμοποιήσει κάποια από τις ακόλουθες αλγόριθμους κρυπτογράφησης:
- Data Encryption Standard (DES)? Ο προεπιλεγμένος αλγόριθμος κρυπτογράφησης που χρησιμοποιείται στα Windows Server 2003 που χρησιμοποιεί 56-bit κρυπτογράφηση.
-
Τριπλό DEC (3DES)? Δεδομένα κρυπτογραφούνται με ένα κλειδί, αποκρυπτογραφούνται με το άλλο κλειδί, κρυπτογραφημένη και πάλι με ένα διαφορετικό κλειδί.
- 40-bit DES? Λιγότερο ασφαλή αλγόριθμο κρυπτογράφησης.
Κατανόηση της λειτουργίας του IPSec
IPSec να μπορεί να λειτουργεί με έναν από τους παρακάτω τρόπους:
- Tunnel mode: IPSec τούνελ λειτουργία μπορεί να χρησιμοποιηθεί για να παρέχει ασφάλεια για συνδέσεις WAN και VPN που χρησιμοποιούν το Διαδίκτυο ως μέσο σύνδεσης. Σε λειτουργία σήραγγας, IPSec κρυπτογραφεί το IP header και της ΠΕ, το ωφέλιμο φορτίο. Με Tunneling, τα στοιχεία που περιέχονται σε ένα πακέτο συνοψίζεται μέσα σε ένα επιπλέον πακέτο. Το νέο πακέτο είναι στη συνέχεια αποστέλλονται μέσω του δικτύου.
Tunnel mode χρησιμοποιείται συνήθως για τις ακόλουθες ρυθμίσεις:
- Server στο διακομιστή
- Server για την πύλη
- Πύλη στην πύλη
Η διαδικασία της επικοινωνίας η οποία συμβαίνει όταν σήραγγα λειτουργίας ορίζεται ως η λειτουργία του IPSec είναι αναλυτικά παρακάτω:
- Τα δεδομένα μεταδίδονται με τη χρήση IP δεδομενογραμμάτων απροστάτευτες από υπολογιστή του ιδιωτικού δικτύου.
- Όταν τα πακέτα φτάνουν στο router, ο δρομολογητής συμπυκνώνει το πακέτο με τη χρήση πρωτοκόλλων ασφαλείας IPSec.
- Ο δρομολογητής διαβιβάζει στη συνέχεια το πακέτο για το router στο άλλο άκρο της σύνδεσης.
- Αυτό το router ελέγχει την ακεραιότητα του πακέτου.
- Το πακέτο είναι αποκρυπτογραφούνται.
-
Τα στοιχεία του πακέτου Κατόπιν προστίθεται σε απροστάτευτες δεδομενογραμμάτων ΠΕ και αποστέλλεται στον προορισμό υπολογιστή του ιδιωτικού δικτύου.
- Μεταφορές Mode: Αυτή είναι η προεπιλεγμένη λειτουργία της επιχείρησης που χρησιμοποιούνται από το IPSec στην οποία μόνο το IP του ωφέλιμου φορτίου είναι κρυπτογραφημένα μέσω του πρωτοκόλλου AH ή ESP πρωτόκολλο. Τρόπος μεταφοράς χρησιμοποιείται για την από άκρο σε άκρο επικοινωνία ασφαλείας μεταξύ δύο υπολογιστών του δικτύου.
IPSec Components
Η κύρια δύο στοιχεία όταν εγκατασταθεί IPSec είναι που χρησιμοποιήθηκαν είναι:
- Παράγοντα πολιτικής IPSec: Αυτή είναι μια υπηρεσία που λειτουργεί σε έναν υπολογιστή που εκτελεί Windows Server 2003 που έχει πρόσβαση πολιτική IPSec πληροφορίες. Ο παράγοντας πολιτικής IPSec προσβάσεις την πολιτική IPSec πληροφορίες είτε στο μητρώο των Windows ή στο Active Directory. Οι βασικές λειτουργίες που ο παράγοντας πολιτικής IPSec προβλέπει, αναφέρονται παρακάτω:
- Ο παράγοντας πολιτικής IPSec περνάει πληροφορίες για το πρόγραμμα οδήγησης IPSec.
- Ο παράγοντας πολιτικής IPSec προσβάσεις πολιτική IPSec πληροφορίες από τις τοπικές μητρώου των Windows όταν ο υπολογιστής δεν ανήκει σε έναν τομέα.
- Ο παράγοντας πολιτικής IPSec προσβάσεις πολιτική IPSec πληροφορίες από το Active Directory, όταν ο υπολογιστής είναι μέλος ενός τομέα.
- Ο παράγοντας πολιτικής IPSec σαρώνει πολιτικές IPSec για τυχόν αλλαγές στη ρύθμιση.
- IPSec οδηγού: Η IPSec οδηγός εκτελεί μια σειρά από ενέργειες που θα τους εξασφαλίζει ασφαλή δίκτυο επικοινωνίας, συμπεριλαμβανομένων των εξής:
- Δημιουργεί IPSec πακέτα
- Δημιουργεί checksums.
- Αρχίζει το IKE επικοινωνίας
-
Προσθέτει την κεφαλίδες AH και ESP
- Κρυπτογραφεί τα δεδομένα πριν να διαβιβάζονται.
- Υπολογίζει hashes και ελέγχου για τα εισερχόμενα πακέτα
Η κατανόηση των πρωτοκόλλων IPSec
Όπως αναφέρθηκε προηγουμένως, τα κύρια πρωτόκολλα ασφαλείας IPSec είναι η Authentication Header (AH) και Encapsulating Security Payload (ESP) πρωτόκολλα. Υπάρχουν και άλλα πρωτόκολλα όπως το IPSec ISAKMP, IKE, Oakley και ότι η χρήση Diffie-Hellman αλγόριθμο.
Authentication Header (AH) πρωτοκόλλου
Η AH πρωτόκολλο παρέχει τις ακόλουθες υπηρεσίες για την εξασφάλιση της ασφάλειας των δεδομένων:
- Authentication
- Anti-replay
- Ακεραιότητα των δεδομένων
Η AH πρωτόκολλο εξασφαλίζει ότι τα δεδομένα δεν είναι τροποποιημένα καθώς μετακινείται από το δίκτυο. Επίσης, διασφαλίζει ότι τα δεδομένα που προέρχονται από τον αποστολέα.
Η AH πρωτόκολλο αν δεν παρέχει την εμπιστευτικότητα των δεδομένων, διότι δεν κρυπτογραφεί τα δεδομένα που περιέχονται στα πακέτα IP. Αυτό σημαίνει, ότι αν το AH πρωτόκολλο που χρησιμοποιείται είναι από μόνη της? Εισβολείς που είναι σε θέση να συλλάβει τα δεδομένα θα είναι σε θέση να αναγνώσει τα δεδομένα. Δεν θα είναι όμως σε θέση να αλλάξει τα δεδομένα. Η AH πρωτόκολλο μπορεί να χρησιμοποιηθεί σε συνδυασμό με το ESP πρωτόκολλο, αν πρέπει να εξασφαλίζουν την εμπιστευτικότητα των δεδομένων τους.
Η διαδικασία που συμβαίνει όταν το AH πρωτόκολλο χρησιμοποιείται παρουσιάζεται εδώ:
- Ένας υπολογιστής μεταδίδει τα δεδομένα σε άλλο υπολογιστή.
-
Η κεφαλίδα IP, AH header, και τα στοιχεία που η ίδια έχει υπογραφεί για την εξασφάλιση της ακεραιότητας των δεδομένων.
- Η κεφαλίδα AH παρεμβάλλεται μεταξύ της κεφαλίδας IP και IP ωφέλιμο φορτίο να παρέχει έλεγχο ταυτότητας και ακεραιότητα.
Τα πεδία εντός AH header, μαζί με το ρόλο που πραγματοποιείται από κάθε τομέα που είναι εδώ:
- Επόμενη Επικεφαλίδας? Που χρησιμοποιείται για να προσδιοριστεί το είδος της ΠΕ ωφέλιμου φορτίου μέσω του πρωτοκόλλου IP ID που υπάρχει μετά από αυτό το AH header.
- Μήκος? Δείχνει το μήκος του AH header.
- Security Parameters Index (SPI)? Δείχνει τη σωστή σύνδεση για την ασφάλεια της επικοινωνίας μέσα από ένα συνδυασμό από τα ακόλουθα:
- IPSec πρωτόκολλο ασφαλείας.
- Προορισμός διεύθυνση IP
- Αύξων αριθμός? IPSec χρησιμοποιείται για την παροχή προστασίας κατά των replay για την επικοινωνία. Ο αύξων αριθμός αρχίζει από το 1, και έχει αυξηθεί από 1 σε κάθε επακόλουθη πακέτων. Τα πακέτα που έχουν τον ίδιο αύξοντα αριθμό και την ασφάλεια σύνδεσης απορρίπτονται.
- Ο έλεγχος της γνησιότητας των δεδομένων? Κατέχει ο έλεγχος ακεραιότητας αξία (τιμή ICV) που υπολογίζεται από την αποστολή ηλεκτρονικών υπολογιστών να παρέχει στοιχεία της ακεραιότητας και της γνησιότητας. Η παραλαβή του υπολογιστή υπολογίζει την τιμή ICV πάνω από το IP header, AH header, IP και το ωφέλιμο φορτίο, και στη συνέχεια συγκρίνει τις δύο τιμές τιμή ICV.
Encapsulating Security Payload (ESP) πρωτοκόλλου
Το ESP πρωτόκολλο παρέχει τις ακόλουθες υπηρεσίες για την εξασφάλιση της ασφάλειας των δεδομένων:
- Authentication
- Anti-replay
- Ακεραιότητα των δεδομένων
- Εμπιστευτικότητα των δεδομένων
Η κύρια διαφορά μεταξύ του ΑΧ πρωτόκολλο ESP και το πρωτόκολλο είναι ότι το ESP πρωτόκολλο παρέχει όλες τις υπηρεσίες ασφαλείας που παρέχονται από το πρωτόκολλο AH, μαζί με την εμπιστευτικότητα των δεδομένων μέσω κρυπτογράφησης. ESP μπορεί να χρησιμοποιηθεί μόνο του, και μπορεί να χρησιμοποιηθεί μαζί με το πρωτόκολλο ΑΧ. Τον τρόπο μεταφοράς, το πρωτόκολλο ESP μόνο σημεία και προστατεύει το ωφέλιμο φορτίο ΠΕ. Η κεφαλίδα IP δεν προστατεύεται. Εάν το πρωτόκολλο ESP χρησιμοποιείται μαζί με το πρωτόκολλο AH, τότε ολόκληρο το πακέτο που υπογράφηκε.
ESP ESP header εισάγει το ρυμουλκούμενο και το ESP, το οποίο ουσιαστικά περικλείει το ωφέλιμο φορτίο του IP datagram. Όλα τα δεδομένα μετά την επικεφαλίδα ESP, μέχρι το σημείο του ρυμουλκούμενου ESP, και το πραγματικό ESP ρυμουλκουμένου είναι κρυπτογραφημένη.
Τα πεδία στο πλαίσιο μιας κεφαλίδας ESP, σε συνδυασμό με το ρόλο που πραγματοποιείται από κάθε τομέα που αναφέρονται εδώ:
- Security Parameters Index (SPI)? Δείχνει τη σωστή σύνδεση για την ασφάλεια της επικοινωνίας μέσα από ένα συνδυασμό από τα ακόλουθα:
- IPSec πρωτόκολλο ασφαλείας.
- Προορισμός διεύθυνση IP
-
Αύξων αριθμός? IPSec χρησιμοποιείται για την παροχή προστασίας κατά των replay για την επικοινωνία. Ο αύξων αριθμός αρχίζει από το 1, και έχει αυξηθεί από 1 σε κάθε επακόλουθη πακέτων. Τα πακέτα που έχουν τον ίδιο αύξοντα αριθμό και την ασφάλεια σύνδεσης απορρίπτονται.
Τα πεδία μέσα σε ένα ρυμουλκούμενο, ESP, σε συνδυασμό με το ρόλο που πραγματοποιείται από κάθε τομέα που αναφέρονται εδώ:
- Padding? Που απαιτούνται από το αλγόριθμο κρυπτογράφησης για να διασφαλίσει ότι υπάρχουν όρια byte.
- Επένδυση Μήκος? Δηλώνει το μήκος (bytes) της επενδύσεως που είχε χρησιμοποιηθεί στον τομέα Επένδυση.
- Επόμενη Επικεφαλίδας? Που χρησιμοποιείται για να προσδιοριστεί το είδος της ΠΕ ωφέλιμου φορτίου μέσω του IP πρωτοκόλλου ID.
- Ο έλεγχος της γνησιότητας των δεδομένων? Κατέχει ο έλεγχος ακεραιότητας αξία (τιμή ICV) που υπολογίζεται από την αποστολή ηλεκτρονικών υπολογιστών να παρέχει στοιχεία της ακεραιότητας και της γνησιότητας. Η παραλαβή του υπολογιστή υπολογίζει την τιμή ICV πάνω από το IP header, AH header, IP και το ωφέλιμο φορτίο, και στη συνέχεια συγκρίνει τις δύο τιμές τιμή ICV.
Κατανοώντας IPSec Ασφαλείας Φίλτρα, Μέθοδοι Ασφαλείας, και πολιτική ασφάλειας
Ασφάλεια φίλτρα βασικά πρωτόκολλα ασφαλείας ταιριάζουν με μια συγκεκριμένη διεύθυνση δικτύου. IPSec φίλτρα μπορεί να χρησιμοποιηθεί για να διακρίνουν τους χωρίς άδεια κυκλοφορίας. Το φίλτρο περιέχει τις ακόλουθες πληροφορίες:
- Πηγή και η διεύθυνση IP προορισμού
- Το πρωτόκολλο που χρησιμοποιείται
- Πηγή και τον προορισμό τους λιμένες
Κάθε διεύθυνση IP περιέχει ένα αναγνωριστικό δικτύου και ένα τμήμα υποδοχής ID μερίδα. Μέσω φίλτρα ασφαλείας, μπορείτε να φίλτρο κυκλοφορίας σύμφωνα με το ακόλουθο κείμενο:
- Κυκλοφορίας επιτρέπεται να διέρχονται από
- Η κίνηση για την εξασφάλιση
- Κυκλοφορίας για να εμποδίσουν
Ασφάλεια φίλτρα μπορούν να ομαδοποιηθούν σε ένα φίλτρο λίστα. Δεν υπάρχει όριο στον αριθμό των φίλτρων που μπορούν να συμπεριληφθούν σε μια λίστα φίλτρων. ΠΕ πολιτικές IPSec χρησιμοποιεί φίλτρα για να εξακριβώσει αν μια ΠΕ κανόνα ασφαλείας θα πρέπει να χρησιμοποιείται σε ένα πακέτο.
Μπορείτε να χρησιμοποιήσετε μια μέθοδο για την ασφάλεια ορίζει τον τρόπο με τον οποίο μια πολιτική IPSec πρέπει να ασχοληθεί με την κυκλοφορία που ταιριάζουν μια IP φίλτρο. Ασφάλεια μεθόδους αναφέρονται επίσης ως φίλτρο δράσεις. Το φίλτρο δράσεις οδηγούν σε κάποια από τις ακόλουθες εκδηλώσεις:
- Σταγόνες κυκλοφορίας
- Επιτρέπει Κυκλοφορίας
- Διαπραγματεύεται την ασφάλεια.
Για την εφαρμογή της ασφάλειας του δικτύου σας, οι πολιτικές IPSec χρησιμοποιείται. Οι πολιτικές IPSec καθορίσει πότε και πώς τα δεδομένα θα πρέπει να είναι ασφαλισμένες. Οι πολιτικές IPSec επίσης να καθορίζουν τις μεθόδους ασφαλείας που πρέπει να χρησιμοποιούνται κατά τη διασφάλιση των δεδομένων στα διάφορα επίπεδα του δικτύου σας. Μπορείτε να ρυθμίσετε τις πολιτικές IPSec έτσι ώστε διάφορες μορφές κυκλοφορίας επηρεάζονται από κάθε επιμέρους πολιτική.
Πολιτικές IPSec μπορεί να εφαρμοστεί στα ακόλουθα επίπεδα μέσα σε ένα δίκτυο:
- Active Directory domain
- Active Directory site
-
Active Directory οργανική μονάδα
- Υπολογιστές
- Εφαρμογές
Οι διάφορες συνιστώσες της πολιτικής IPSec παρατίθενται εδώ:
- ΠΕ φίλτρο? Ενημερώνει το IPSec οδηγός από τον τύπο της εισερχόμενης και εξερχόμενης κίνησης κυκλοφορίας, η οποία θα πρέπει να είναι ασφαλισμένες.
- ΠΕ λίστα φίλτρων? Χρησιμοποιείται για την ομάδα πολλαπλών φίλτρων IP σε έναν ενιαίο κατάλογο, έτσι ώστε να απομονώσει ένα συγκεκριμένο σύνολο της κίνησης δικτύου.
- Φίλτρο δράση? Χρησιμοποιούνται για να καθορίσουν τον τρόπο με τον οποίο ο οδηγός θα πρέπει να IPSec ασφαλή κυκλοφορία.
- Ασφάλεια μέθοδο? Αναφέρεται στην ασφάλεια και τα είδη των αλγορίθμων που χρησιμοποιούνται για τη βασική διαδικασία ανταλλαγής και για την πιστοποίηση της ταυτότητας.
- Τύπος σύνδεσης: προσδιορίζει το είδος της σύνδεσης που η πολιτική IPSec επιπτώσεις.
- Σήραγγας ρύθμιση? Τελικό σημείο της σήραγγας της διεύθυνσης IP / Κανόνας? Ομίλου των ακόλουθων στοιχείων για τη διασφάλιση μιας συγκεκριμένης υποσύνολο της κίνησης σε ένα συγκεκριμένο τρόπο:
- ΠΕ φίλτρου
- Φίλτρο δράση.
- Ασφάλεια μέθοδο
- Τύπος σύνδεσης
- Σήραγγας ρύθμιση.
Bookmark Understanding IPSec
Τελευταίες θέσεις Blog