Основными чертами IPSec являются:
- Аутентификация; защищает частную сеть и личные данные, которые он содержит. IPSec обеспечивает личные данные с человеком-в-в-середине нападения с нападающих пытается получить доступ к сети, а также от злоумышленника изменение содержимого пакетов данных.
- Шифрование; скрывает реальное содержание пакетов данных так, что она не может быть истолковано неуполномоченными сторонами.
IPSec можно использовать для обеспечения возможности пакетной фильтрации. Он может также подлинности трафика между двумя узлами и шифрования трафика между прошли хозяева. IPSec можно использовать для создания виртуальной частной сети (VPN). IPSec можно использовать, чтобы связь между удаленными офисами и удаленный доступ клиентов через Интернет.
IPSec работает на сетевом уровне для обеспечения сквозного шифрования. Это означает, что данные в зашифрованном виде на исходный компьютер передачей данных. Все промежуточные системы обрабатывать зашифрованную часть пакетов в качестве полезной нагрузки. Промежуточные системы, такие как маршрутизаторы просто направить пакет с целью его назначения. Промежуточные системы не расшифровки зашифрованных данных. Шифрованным данным только расшифровать, если он не достигнет места назначения.
IPSec с интерфейсами TCP / UDP транспорт слоя и слоя Интернет, и применяется прозрачно для приложений. IPSec является прозрачным для пользователей, а. Это означает, что IPSec может обеспечить безопасность для большинства протоколов в TCP / IP Suite. Когда речь идет о приложениях, все приложения, которые используют TCP / IP можно насладиться особенностями безопасности IPSec. Вам не придется настраивать безопасность для каждого конкретного TCP / IP-приложений. С помощью правил и фильтров IPSec могут получать сетевой трафик и выбрать необходимые протоколы безопасности, определить, какие алгоритмы для использования и может применяться криптографических ключей требует какой-либо из услуг.
В функции безопасности и возможности IPSec могут быть использованы для обеспечения частных сетей и частные конфиденциальные данные из следующих
- Отказ в обслуживании (DoS) атак
- Данные pilfering.
- Данные с коррупцией.
- Хищение данных пользователя
В Windows Server 2003, IPSec использует Аутентификация Header (AH) и протокол Инкапсулирующее безопасности полезной нагрузки (ESP) протокол для обеспечения безопасности данных о:
- Клиентские компьютеры
- Домен серверов
- Корпоративные рабочие группы
- Локальная вычислительная сеть (ЛВС)
- Широкая область сети (потребителей)
- Удаленные офисы
Безопасность функций и характеристик, представленная IPSec приводится ниже:
- Аутентификация; цифровая подпись используется для проверки личности отправителя информации. IPSec может использовать Kerberos, а предварительный ключ, либо цифровые сертификаты для аутентификации.
- Целостность данных; хэш алгоритм используется для обеспечения того, чтобы данные не подделаны. Контрольная называется хэш-кодов аутентификации сообщений (HMAC) рассчитывается для данного пакета. Когда пакет изменяется во время транзита, рассчитанные КСОМ изменения. Это изменение будет обнаружен принимающего компьютера.
- Конфиденциальность данных; алгоритмов шифрования используются для обеспечения того, чтобы данные, передаваемые является неразборчивый.
-
Анти-воспроизведения; позволяет злоумышленнику с resending пакеты в попытке получить доступ к частной сети.
- Nonrepudiation; публичный ключ цифровой подписи используются для доказательства сообщение происхождения.
- Динамический rekeying; ключей может быть создано при передаче данных, для защиты сегментов связи с разными ключами.
- Ключевые поколения, и Diffie-Hellman ключевую соглашение алгоритм используется для включения двух компьютеров для обмена общим ключом шифрования.
- IP Пакетная фильтрация; пакетной фильтрации IPSec потенциал может быть использован для фильтрации и блокирования конкретных видов перевозок, на основе одного из следующих элементов, либо на их сочетание:
- IP-адреса
- Протоколы
- Порты
Что нового в Windows Server 2003 IPSec
А несколько новых функций IPSec были включены в Windows Server 2003 вместе с аксессуарами для IPSec некоторыми особенностями, которые существовали в предыдущих операционных системах:
- Windows Server 2003 включает новые IP Monitor инструмент безопасности, который реализуется как MMC Snap-на. Безопасность IP-Monitor инструмент обеспечивает повышенную безопасность IPSec наблюдения. С безопасности IP Monitor инструментом, вы можете выполнить следующие административные мероприятия:
- Настройка IP-безопасности монитора
- Монитор IPSec информации на локальном компьютере.
- Монитор IPSec информации на удаленных компьютерах.
- Просмотр статистики IPSec.
-
Просмотр информации о политике IPSec
- Посмотреть безопасности ассоциаций информации.
- Посмотреть общие фильтры
- Список конкретных фильтры
- Поиск по конкретным фильтров основана на IP-адрес
- Вы можете настроить IPSec с помощью команды Netsh утилита. В Netsh Консольная утилита заменяет ранее использовавшиеся Ipsecpol.exe командной строки.
- IPSec поддерживает новые результирующей политики (RSoP) особенность Windows Server 2003. В результирующей политики (RSoP) калькулятор может использоваться для определения политики, которые были применены к конкретному пользователю или компьютеру. Результирующей политики (RSoP) сумм всех групповых политик, которые применяются для пользователей и компьютеров в домене. Это включает в себя все фильтры и исключения. Вы можете использовать эту функцию через результирующей политики (RSoP) мастера или из командной строки для просмотра IPSec политика, которая применяется.
- IPSec интеграции с Active Directory позволяет централизованно управлять политикой безопасности.
- Kerberos 5 аутентификации по умолчанию метод аутентификации используются политики IPSec для проверки личных компьютеров.
- IPSec является совместим с Windows 2000 рамки безопасности.
-
Если в местной политики или Active Directory основывается политика не может быть применен на компьютере, теперь у вас есть возможность создания стойких политики для конкретного компьютера. Характеристик стойких политики являются:
- Стойкие политики могут быть настроены только через Netsh командной строки.
- Стойкие политика всегда позитивными.
- Стойкие политике не может быть преодолено.
- В Windows Server 2003 IPSec развертываний, только Internet Key Exchange (IKE) перевозок, освобождается от IPSec. Ранее ресурсах бронирования протокола (RSVP) трафика Kerberos трафик и IKE трафик был освобожден от IPSec.
- IPSec в Windows Server 2003 включает поддержку для 3 группы 2048-битный Diffie-Hellman Key Exchange. Группа 3 ключевых гораздо сильнее и более сложной, чем предыдущая группа 2 1024-битный Diffie-Hellman Key Exchange. Если же вам нужно обратной совместимости с Windows 2000 и Windows XP, то вам придется использовать 2 группа 1024-битный Diffie-Hellman Key Exchange.
-
IPSec ESP пакеты могут передать Network Address Translation Аутентификация Header (AH): Это один из основных протоколов безопасности, используемые IPSec. AH содержит данные проверки подлинности и целостности, и поэтому могут быть использованы по ее собственным данным, когда целостности и подлинности факторы имеют отношение и конфиденциальность не является. Это происходит потому, что АГ не предназначены для шифрования, и поэтому не могут обеспечить конфиденциальность данных. Аутентификация Header (AH) и Инкапсулирующее Безопасности полезной нагрузки (ESP) являются основными безопасности протоколов, используемых в IPSec. Эти протоколы безопасности и могут использоваться по отдельности или вместе.
- Инкапсулирующее Безопасности полезной нагрузки (ESP): Это один из основных протоколов безопасности, используемые IPSec. ESP обеспечивает конфиденциальность данных путем шифрования данных, целостности данных, аутентификации, а также другие функции, которые поддерживают факультативно против воспроизведения услуг. Чтобы обеспечить конфиденциальность данных, ряд алгоритмов симметричного шифрования используются.
- Центры сертификации (ЦС): Это один орган, который создает и проверяет цифровые сертификаты. СА добавляет свою собственную подпись на открытый ключ клиента. ЦС вопрос и отменить цифровых сертификатов.
- Diffie-Hellman группы: Diffie-Hellman Ключевые Соглашение позволяет двум компьютерам для создания совместного закрытого ключа, что подлинность данных и шифрует один IP дейтаграммы. Различные Diffie-Hellman группы, перечислены здесь:
- Группа 1; обеспечивает 768-битным ключом прочность
- Группа 2; обеспечивает 1024-битного ключа прочность
- Группа 3; обеспечивает 2048-битного ключа прочность
- Internet Key Exchange (IKE): В IKE протокола используют компьютеры для создания ассоциации безопасности (SA), а также обмена информацией для создания Diffie-Hellman ключей. IKE управление и обмен криптографическими ключами, так что компьютеры могут иметь общий набор параметров безопасности. Переговоры, на которых происходит проверка подлинности метод и алгоритм шифрования алгоритм хэширования и компьютеры будут использовать.
- IPSec Driver: В IPSec водитель выполняет ряд операций для обеспечения надежной сети связи, включая следующие:
- Создает IPSec пакеты
- Генерирует контрольные суммы.
- Инициирует IKE связь
- Добавляет AH и ESP заголовки
- Шифрует данные, прежде чем она будет передана.
- Вычисляет хэшей и контрольных сумм для входящих пакетов.
- Политика IPSec: IPSec политики определяют, когда и каким образом данные должны быть обеспечены, и определяет, какие методы обеспечения, используемого для защиты данных. IPSec политика содержать ряд элементов:
- Действия.
- Правила
- Фильтр списки
- Фильтр действия.
- Агент политики IPSec: Эта услуга работает на компьютере под управлением Windows Server 2003, доступ к информационной политики IPSec. Агент политики IPSec IPSec доступ к политической информации либо в реестре Windows или в Active Directory.
-
Оукли ключевые определения протокола: Diffie-Hellman алгоритм используется для двух аутентифицированных организаций для проведения переговоров и в соглашение по секретным ключом.
- Ассоциация безопасности (SA): А SA является связь между устройствами, которые определяют, каким они пользуются службами безопасности и настройки.
- Тройной Data Encryption (3DES): Это сильный алгоритм шифрования, используемых на клиентских машинах под управлением Windows, а также о Windows Server 2003. 3DES использует 56-битные ключи шифрования.
Понимание того, как IPSec работ
Обеспечительное ассоциации (SA) должна быть сначала между двумя компьютерами, прежде чем данные могут быть надежно передаваться между компьютерами. А Ассоциация безопасности (SA) является связь между устройствами, которые определяют, каким они пользуются службами безопасности и настройки. В SA предоставляет информацию, необходимую для двух компьютеров общаться надежно. Internet Security ассоциации и ключевые Management Protocol (ISAKMP) и протокола IKE являются механизмом, который позволяет двум компьютерам по созданию ассоциаций безопасности. Когда SA устанавливается между двумя компьютерами, компьютеры, переговоры о котором параметры безопасности использовать для защиты данных. А ключ безопасности обмена и используется для того, чтобы компьютеры общаться надежно.
Ассоциация безопасности (SA), содержит следующее:
- Политические договоренности, которые диктует которых алгоритмы и ключевых длин двух компьютеров будет использоваться для защиты данных.
- Защитный ключ, используемый для защиты данных.
- В индекс параметров безопасности (SPI).
С IPSec, два отдельных СУ устанавливаются для каждого направления передачи данных:
- Один SA обеспечивает входящий трафик.
- Один SA обеспечивает исходящего трафика.
В дополнение к вышесказанному, есть уникальная SA за каждый протокол безопасности IPSec. Есть Поэтому в основном двух типов ПАВ:
- ISAKMP SA: Когда движение в два направленного и IPSec необходимо установить соединение между компьютерами, один ISAKMP SA установлена. В ISAKMP SA определяет и обрабатывает параметры безопасности между двумя компьютерами. Оба Компьютеры согласовать целый ряд элементов для создания ISAKMP SA:
- Определите, какие соединения должны быть удостоверены.
- Определить алгоритм шифрования для использования.
- Определить алгоритм проверки целостности сообщений.
После указанных выше элементов, были заключены между двумя компьютерами, на компьютерах используется протокол Оукли договориться о ISAKMP мастер ключ. Это общая мастер ключ, который будет использоваться при указанных выше элементов для обеспечения надежной передачи данных.
После обеспеченных канал устанавливается между двумя компьютерами, компьютеры начать переговоры по следующим элементам:
- Определить ли Аутентификация Header (AH) IPSec протокол следует использовать для соединения.
-
Определение подлинности протокола, который должен быть использован с AH протокол для подключения.
- Определите, соответствует ли Инкапсулирующее Безопасности полезной нагрузки (ESP) IPSec протокол следует использовать для соединения.
- Определить алгоритм шифрования, который должен быть использован с протоколом ESP для соединения.
- IPSec SA: IPSec СУ относятся к IPSec туннель и IP-пакета, и определить параметры безопасности для использования во время соединения. В IPSec SA вытекает из приведенных выше четырех элементов только путем переговоров между двумя компьютерами.
Для обеспечения и защиты данных, IPSec использует криптографию предоставить следующие возможности:
- Аутентификация: Аутентификация занимается проверкой личности компьютера посылать данные или сведения о компьютере, получающих данные. Методы, которые IPSec можно использовать для идентификации отправителя или получателя данных:
- Цифровой сертификат представляет собой наиболее надежный способ аутентификации самобытности. Сертификации (ЦС), таких как Netscape, Поручите, VeriSign, Microsoft и предоставить сертификаты, которые могут быть использованы для аутентификации.
- Аутентификации Kerberos: A снижения использования аутентификации Kerberos V5 протокола заключается в том, что личность компьютер остается незашифрованного до той точки, что вся полезная нагрузка в зашифрованном виде на аутентификацию.
-
Предсессионная общих ключей; следует использовать, если ни один из бывших методов аутентификации может быть использован.
Антивирус воспроизведения обеспечивает проверку подлинности данных, не может быть истолковано как она отправляется по сети. В дополнение к подлинности IPSec может обеспечить nonrepudiation. Что nonrepudiation, отправителю данных не может на более позднем этапе, фактически лишить передачи данных.
- Целостность данных: Целостность данных сделках с обеспечением, что данные, полученные на получатель не был изменен. А алгоритм хэширования используется для обеспечения того, чтобы данные не будут изменены, как он передается по сети. В алгоритм хэширования, которая может быть использована IPSec являются:
- Сообщение Digest (MD5); один способ хэша, что приводит к 128-битный хеш, который используется для проверки целостности.
- Безопасный алгоритм хеширования 1 (SHA1), а 160-битный секретный ключ, чтобы создать 160-битный дайджест сообщения, которые обеспечивают большую безопасность, чем MD5.
- Конфиденциальность данных: IPSec обеспечивает конфиденциальность данных за счет применения алгоритмов шифрования данных, прежде чем он передается по сети. Если данные перехватили, шифрования гарантирует, что злоумышленник не может интерпретировать данные. Чтобы обеспечить конфиденциальность данных, IPSec можно использовать любой из следующих алгоритмов шифрования:
- Данные Encryption Standard (DES); стандартного алгоритма шифрования, используемые в Windows Server 2003, который использует 56-разрядное шифрование.
-
Тройной DEC (3DES); данные шифруются с одним ключом, расшифровать с другим ключом, и зашифрованных снова с другим ключом.
- 40-битный DES, и не менее безопасный алгоритм шифрования.
Понимание IPSec Режимы
IPSec может работать в одном из следующих способов:
- Туннельный режим: IPSec туннель режим может быть использован для обеспечения безопасности WAN и VPN соединений, которые используют Интернет в качестве соединения средних. В туннельном режиме, IPSec шифрует заголовок IP и IP нагрузкой. С-туннель, данные, содержащиеся в пакете инкапсулированные внутри дополнительный пакет. Новый пакет, а затем отправляется по сети.
Туннельный режим обычно используется в следующих конфигурациях:
- Сервера на сервер
- Сервер на шлюз
- Шлюза к шлюзу
В процессе общения, которое происходит, когда туннель режим определяется как IPSec режим ниже:
- Данные передаются с использованием IP дейтаграмм незащищенными от компьютера по локальной сети.
- Когда пакет прибывает на маршрутизатор, маршрутизатор инкапсулирует пакет с помощью IPSec протоколы безопасности.
- Маршрутизатор затем направляет пакет маршрутизатору на другом конце соединения.
- Этот маршрутизатор проверяет целостность пакета.
- В пакет расшифровывается.
-
В данном пакете будет добавлена в незащищенные IP дейтаграмм и направлен на конечный компьютер в локальной сети.
- Вид транспорта: Это стандартный режим работы, используемые IPSec, в котором только IP полезной нагрузки в зашифрованном виде через протокол AH или ESP протокола. Транспорт режим используется для сквозного обеспечения связи между двумя компьютерами в сети.
Компоненты IPSec
Основной из двух компонентов установлен, когда IPSec развернуты являются:
- Агент политики IPSec: Эта услуга работает на компьютере под управлением Windows Server 2003, доступ к информационной политики IPSec. Агент политики IPSec IPSec доступ к политической информации либо в реестре Windows или в Active Directory. К основным функциям которого агента политики IPSec предусматривает, перечислены ниже:
- Агент политики IPSec передает информацию для IPSec водителя.
- Агент политики IPSec IPSec доступ к политической информации от местного реестра Windows, если компьютер не входит в состав домена.
- Агент политики IPSec доступа IPSec политика информацию из Active Directory, если компьютер является членом домена.
- Агент политики IPSec проверяет политику IPSec для любых изменений конфигурации.
- IPSec водителя: В IPSec водитель выполняет ряд операций для обеспечения надежной сети связи, включая следующие:
- Создает IPSec пакеты
- Генерирует контрольные суммы.
- Инициирует IKE связь
-
Добавляет AH и ESP заголовки
- Шифрует данные, прежде чем она будет передана.
- Вычисляет хэшей и контрольных сумм для входящих пакетов
Понимание протоколов IPSec
Как отмечалось ранее, основным протоколам IPSec безопасности являются Аутентификация Header (AH) и Инкапсулирующее Безопасности полезной нагрузки (ESP) протоколы. Существуют и другие протоколы IPSec, таких, как ISAKMP, IKE и Oakley, которые используют Diffie-Hellman алгоритм.
Аутентификация Header (AH) Протокол
В AH протокол предоставляет следующие службы безопасности для защиты данных:
- Аутентификация
- Анти-повтор
- Целостность данных
В AH протокол гарантирует, что данные не будут изменены, как он движется по сети. Она также гарантирует, что данные, происходит от отправителя.
В AH протокола не обеспечивают, хотя конфиденциальность данных, потому что он не шифрует данные, содержащиеся в IP-пакеты. Это означает, что если AH протокол используется сам по себе; злоумышленников, которые могут захватить данные сможет прочитать данные. Они хотя и не сможете изменить данные. В AH протокол может быть использован в комбинации с ESP протокол, если вы хотите обеспечить конфиденциальность данных, а.
В процессе, который происходит, когда AH протокол используется показано здесь:
- Один компьютер передает данные на другой компьютер.
- IP-заголовка, AH заголовка, а сами данные подписан в целях обеспечения целостности данных.
- В заголовке AH вставляется между заголовком IP и IP полезной нагрузки для обеспечения подлинности и целостности.
Поля в заголовке AH, вместе с той ролью, выполнять каждое поле перечисленные здесь:
- Следующая Header; используется для указания типа полезной нагрузки IP через IP протокол ID, которая существует после этого AH заголовка.
- Длина; указывается длина в AH заголовка.
- Индекс параметров безопасности (SPI); указывает правильный безопасности ассоциации по вопросам связи на основе сочетания следующих элементов:
- Протокол безопасности IPSec.
- Назначение IP-адрес
- Порядковый номер; используется для обеспечения IPSec против воспроизведения защиты для общения. Порядковый номер начинается с 1, и увеличивается на 1 в каждой последующего пакета. Пакеты, которые имеют тот же порядковый номер и безопасности ассоциации отбрасываются.
- Аутентификация данных; проводит проверку целостности значения (БМП), рассчитываемый по отправке компьютер для обеспечения целостности данных и аутентификации. Принимающее компьютер вычисляет БМП над IP-заголовка, AH заголовка и IP полезной нагрузки, а затем сравнивает два БМП ценностей.
Инкапсулирующее Безопасности полезной нагрузки (ESP) протокол
В ESP протокол предоставляет следующие службы безопасности для защиты данных:
- Аутентификация
- Анти-повтор
- Целостность данных
- Конфиденциальность данных
Основная разница между AH протокол и протокол ESP заключается в том, что протокол ESP обеспечивает безопасность всех услуг, предоставляемых AH протокола, а также конфиденциальность данных путем шифрования. ESP можно использовать на свой собственный, и он может быть использован совместно с AH протокола. В транспортном режиме, ESP протокол только знаки и защищает IP нагрузкой. IP-заголовок не является защитой. Если ESP протокол используется вместе с AH протокол, а затем весь пакет подписан.
ESP вставляет один заголовок ESP ESP и трейлер, которые в основном охватывают полезной нагрузки в IP датаграммы. Все данные после заголовка ESP с точки ESP на прицепе, и фактические ESP прицепом в зашифрованном виде.
В областях в рамках ESP заголовке, а также роль, которую играет каждое поле, перечислены здесь:
- Индекс параметров безопасности (SPI); указывает правильный безопасности ассоциации по вопросам связи на основе сочетания следующих элементов:
- Протокол безопасности IPSec.
- Назначение IP-адрес
- Порядковый номер; используется для обеспечения IPSec против воспроизведения защиты для общения. Порядковый номер начинается с 1, и увеличивается на 1 в каждой последующего пакета. Пакеты, которые имеют тот же порядковый номер и безопасности ассоциации отбрасываются.
В областях в рамках ESP прицепа вместе с той ролью, выполняемых каждой области, перечислены здесь:
- Заполнение; требуется алгоритм шифрования, чтобы байтовой границ присутствуют.
- Заполнение Длина; указывается длина (байт) из обивка, которая была использована в Заполнение поля.
- Следующая Header; используется для указания типа полезной нагрузки IP через IP протокол, идентификатор.
- Аутентификация данных; проводит проверку целостности значения (БМП), рассчитываемый по отправке компьютер для обеспечения целостности данных и аутентификации. Принимающее компьютер вычисляет БМП над IP-заголовка, AH заголовка и IP полезной нагрузки, а затем сравнивает два БМП ценностей.
Понимание IPSec фильтров безопасности, безопасности методов, политики и политики безопасности
Безопасность фильтры основном совпадают протоколы безопасности для конкретного сетевого адреса. IPSec фильтры могут быть использованы для отфильтровывания несанкционированного трафика. Фильтр содержит следующую информацию:
- Источника и назначения IP-адрес
- Используемый протокол
- Источник и порты назначения
Каждый IP-адрес содержит идентификатор сети часть и множество ID часть. С помощью фильтров безопасности, вы можете фильтровать трафик в соответствии со следующим:
- Трафик разрешено пройти
- Трафик по обеспечению
- Трафик блокировать
Безопасность Фильтры могут быть сгруппированы в список фильтров. Существует неограниченное количество фильтров, которые могут быть включены в список фильтра. IPSec политика использует IP фильтр для выяснения ли IP безопасности, правила должны быть использованы в одном пакете.
Вы можете использовать метод безопасности указать, каким образом один IPSec политики должны заниматься соответствующие движения один IP-фильтр. Безопасность методы называют также действия фильтра. Фильтр в результате действия одного из следующих событий:
- Создает движения
- Позволяет движении
- Ведет переговоры безопасности.
Для безопасности применяются в вашей сети, IPSec политика используется. В IPSec политика определить, когда и каким образом данные должны быть закреплены. В IPSec политика также определить, какие методы обеспечения, используемого для защиты данных на различных уровнях в вашей сети. Вы можете настроить IPSec политики, с тем, что различные типы трафика, пострадавших от каждого конкретного политика.
IPSec политика может применяться на следующих уровнях в сети:
- Active Directory домена
- Active Directory на сайте
- Active Directory организационные единицы
- Компьютеры
- Заявки
Различные компоненты один IPSec политики, перечислены здесь:
- IP фильтр; IPSec информирует водителя о типе входящего трафика и исходящего трафика, которые должны быть закреплены.
- Список фильтров IP; для группы из нескольких фильтров IP в единый список, чтобы выделить конкретный набор сетевого трафика.
- Фильтр действий; используется для определения, как IPSec водитель должен обеспечить движение.
- Безопасность метода относится к видам безопасности и алгоритмы, используемые для обмена ключами и для аутентификации.
- Тип подключения: определяет тип соединения которых IPSec политика воздействия.
- Тоннель настройки; туннеля точки IP-адрес и Правило; группировку из следующих компонентов, чтобы обеспечить конкретное подмножество трафика в том или ином порядке:
- IP фильтр
- Фильтр действий.
- Безопасность метода
- Тип подключения
- Тоннель настройка.
Закладка Понимание IPSec
Последние сообщения блога