Le caratteristiche principali di IPSec sono:
- Autenticazione; protegge la rete privata e privati i dati che esso contiene. IPSec protegge dati privati da uomo-in-the-middle attacchi, da aggressori tentano di accedere alla rete, e da un utente malintenzionato cambiando il contenuto dei pacchetti di dati.
- Crittografia; nasconde il contenuto dei pacchetti di dati in modo che non possa essere interpretato da parti non autorizzate.
IPSec può essere utilizzato per fornire funzionalità di packet filtering. E 'inoltre possibile autenticare il traffico tra due host e cifrare il traffico tra il host. IPSec può essere utilizzato per creare una rete privata virtuale (VPN). IPSec può essere utilizzato anche per consentire la comunicazione tra gli uffici remoti e di client di accesso remoto tramite Internet.
IPSec opera a livello di rete di fornire end-to-end di cifratura. Ciò significa che i dati vengono criptati al computer di origine invio dei dati. Tutti i sistemi intermedi gestire cifrati porzione di pacchetti di carico utile. Sistemi intermedi come i router semplicemente trasmettere il pacchetto alla sua destinazione finale. Sistemi intermedi che non decrittografare i dati crittografati. I dati cifrati è decifrati solo quando raggiunge la destinazione.
IPSec interfacce con il protocollo TCP / UDP livello di trasporto e il livello di Internet, e viene applicato trasparente alle applicazioni. IPSec è trasparente per gli utenti pure. Ciò significa che possono garantire la sicurezza IPSec per la maggior parte dei protocolli entro il protocollo TCP / IP suite. Quando si tratta di domande, tutte le applicazioni che utilizzano il protocollo TCP / IP possono godere le caratteristiche di sicurezza di IPSec. Non è necessario configurare la protezione per ogni specifica il protocollo TCP / IP based. Utilizzando regole e filtri, IPSec può ricevere il traffico di rete e selezionare i protocolli di sicurezza richiesti, algoritmi per determinare quale uso, e si possono applicare chiavi crittografiche richieste da uno qualsiasi dei servizi.
Le caratteristiche di sicurezza e le capacità di IPSec può essere utilizzato per garantire la rete privata e privati dati riservati tra le seguenti
- Denial-of-Service (DoS), attacchi
- Furto di dati.
- Corruzione dei dati.
- Il furto delle credenziali utente
In Windows Server 2003 utilizza l'Autenticazione IPSec Header (AH) e protocollo Encapsulating Security Payload (ESP) protocollo di fornire dati sulla sicurezza:
- Computer client
- Server di dominio
- Azienda gruppi di lavoro
- Reti locali (LAN)
- Wide Area Network (WAN)
- Gli uffici remoti
Le funzioni di sicurezza e le caratteristiche previste dal IPSec sono riassunte qui di seguito:
- Autenticazione; una firma digitale è utilizzato per verificare l'identità del mittente delle informazioni. IPSec può utilizzare Kerberos, una chiave, o di certificati digitali per l'autenticazione.
- L'integrità dei dati, un algoritmo di hash viene utilizzato per garantire che i dati non siano alterati. Un checksum hash chiamato un codice di autenticazione del messaggio (HMAC) è calcolato per i dati relativi al pacchetto. Quando un pacchetto viene modificato, mentre in transito, calcolato HMAC modifiche. Questo cambiamento sarà rilevato dal computer ricevente.
- Riservatezza dei dati, algoritmi di cifratura, sono utilizzate per garantire che i dati trasmessi sono indecifrabili.
-
Anti-replay; impedisce a un utente malintenzionato di reinvio pacchetti nel tentativo di guadagnare l'accesso alla rete privata.
- Nonrepudiation; chiave pubblica firme digitali vengono utilizzati per dimostrare messaggio origine.
- Dynamic rekeying; tasti può essere creato durante l'invio dei dati per proteggere i segmenti della comunicazione con i vari tasti.
- Di generazione delle chiavi, la chiave Diffie-Hellman accordo algoritmo viene utilizzato per consentire due computer per lo scambio di una chiave di cifratura.
- IP Packet filtering, la capacità di filtraggio dei pacchetti IPSec può essere utilizzato per filtrare e bloccare determinati tipi di traffico, sulla base di uno dei seguenti elementi o su una combinazione di esse:
- Indirizzi IP
- Protocolli
- Porti
Che cosa di nuovo in Windows Server 2003 IPSec
A pochi IPSec nuove caratteristiche sono state incluse in Windows Server 2003, insieme con alcuni miglioramenti per IPSec caratteristiche che esisteva nelle precedenti sistemi operativi Windows:
- Windows Server 2003 include il nuovo strumento Monitor di protezione IP, che è implementato come uno snap-in MMC. Il Monitor di protezione IP fornisce maggiore strumento di monitoraggio della sicurezza IPSec. Con il Monitor di protezione IP strumento, è possibile eseguire le seguenti attività amministrative:
- Personalizza il Monitor di protezione IP visualizzazione
- Monitor IPSec informazioni sul computer locale.
- Monitor informazioni IPSec su computer remoti.
- Visualizza le statistiche IPSec.
-
Visualizza informazioni su criteri IPSec
- Visualizza le informazioni di sicurezza associazioni.
- Vedi filtri generici
- Vedi specifici filtri
- Cerca specifici filtri basati su indirizzo IP
- È possibile configurare IPSec utilizzando il comando netsh utilità della riga di comando. Il comando netsh utilità della riga di comando sostituisce il precedentemente utilizzato Ipsecpol.exe utilità della riga di comando.
- IPSec supporta il nuovo Gruppo di criteri risultante (RSoP) funzionalità di Windows Server 2003. La serie di politiche risultante (RSoP), il calcolatore può essere usata per determinare le politiche che sono state applicate a un particolare utente o computer. Gruppo di criteri risultante (RSoP) tutte le somme che i criteri di gruppo vengono applicati a un utente e il computer in un dominio. Questo include tutti i filtri e le eccezioni. È possibile utilizzare la funzione attraverso il Gruppo di criteri risultante (RSoP) guidata o dalla riga di comando per visualizzare il criterio IPSec che viene applicato.
- IPSec di integrazione con Active Directory consente di gestire centralmente le politiche di sicurezza.
- 5 autenticazione Kerberos è il metodo di autenticazione di default utilizzati da criteri IPSec per verificare l'identità del computer.
- IPSec è compatibile con il quadro di protezione di Windows 2000.
-
Se un locale o di Active Directory in base politica non può essere applicato a un computer, ora hai la possibilità di creare un persistente politica specifica per il computer. Le caratteristiche di persistenza politiche sono:
- Persistenti politiche possono essere configurati solo tramite il comando netsh utilità della riga di comando.
- Persistenti politiche sono sempre positivi.
- Persistenti politiche non può essere ignorato.
- In Windows Server 2003 implementazioni IPSec, solo Internet Key Exchange (IKE) è esente da traffico IPSec. In precedenza, il protocollo di prenotazione delle risorse (RSVP), il traffico, il traffico Kerberos e IKE traffico è stato esente da IPSec.
- IPSec in Windows Server 2003 include il supporto per il Gruppo 3 2048-bit Diffie-Hellman scambio di chiavi. Il Gruppo 3 chiave è molto più forte e più complesso rispetto al precedente gruppo 2 1024-bit Diffie-Hellman scambio di chiavi. Se invece avete bisogno di compatibilità con Windows 2000 e Windows XP, quindi dovrete usare il gruppo 2, 1024 bit Diffie-Hellman scambio di chiavi.
-
Pacchetti ESP IPSec può passare Network Address Translation
Comprensione IPSec Terminologia
Questa sezione di questo articolo elenca le IPSec terminologia comunemente usata e concetti:
-
Authentication Header (AH): Questo è uno dei principali protocolli di sicurezza utilizzati da IPSec. AH fornisce i dati di autenticazione e integrità, e può quindi essere usato da solo, quando l'integrità dei dati e l'autenticazione sono i fattori rilevanti e la riservatezza che non lo è. Questo è dovuto al fatto che AH non prevede per la crittografia, e quindi non può fornire la riservatezza dei dati. Authentication Header (AH) e Encapsulating Security Payload (ESP) sono i principali protocolli di sicurezza utilizzati in IPSec. Questi protocolli di sicurezza e possono essere utilizzate separatamente o insieme.
- Encapsulating Security Payload (ESP): Questo è uno dei principali protocolli di sicurezza utilizzati da IPSec. ESP garantisce la riservatezza dei dati attraverso la crittografia, l'integrità dei dati, l'autenticazione dei dati, e altre funzioni che supportano opzionale anti-replay servizi. Per garantire la riservatezza dei dati, una serie di algoritmi di cifratura simmetrica sono utilizzati.
- Autorità di certificazione (CA): Si tratta di un soggetto che genera e convalida i certificati digitali. La CA aggiunge la propria firma per la chiave pubblica del client. CA rilascio e revoca di certificati digitali.
- Diffie-Hellman gruppi: Diffie-Hellman Key accordo consente due computer per creare una chiave privata condivisa che l'autenticazione dei dati e crittografa un datagramma IP. I diversi gruppi Diffie-Hellman sono elencati qui:
- Gruppo 1, prevede 768-bit chiave di forza
- Gruppo 2, prevede 1024-bit chiave forza
- Gruppo 3, prevede 2048-bit chiave forza
-
Internet Key Exchange (IKE): Il protocollo IKE viene utilizzato dai computer per creare una associazione di protezione (SA) e per lo scambio di informazioni per la generazione di chiavi Diffie-Hellman. IKE e gestisce gli scambi chiavi crittografiche in modo che i computer possono avere una serie di impostazioni di sicurezza. Negoziazione in cui si verifica il metodo di autenticazione e crittografia algoritmo algoritmo di hashing e il computer utilizza.
- IPSec Driver: Il IPSec conducente svolge una serie di operazioni di sicurezza per consentire la comunicazione in rete, compresi i seguenti:
- Crea pacchetti IPSec
- Genera checksums.
- Inizia la comunicazione IKE
- Aggiunge l'header AH ed ESP
- Cripta i dati prima di essere trasmessi.
- Calcola hash e checksum per i pacchetti in arrivo.
- Politiche IPSec: criteri IPSec definire quando e come i dati devono essere protetti, e che definisce i metodi di sicurezza da utilizzare per ottenere i dati. Criteri IPSec contiene una serie di elementi:
- Azioni.
- Regole
- Filtrare le liste
- Filtro azioni.
- Agente criteri IPSec: Questo è un servizio in esecuzione su un computer che esegue Windows Server 2003 che accede criterio IPSec informazioni. L'Agente criteri IPSec accede al criterio IPSec informazioni né nel Registro di sistema di Windows o in Active Directory.
- Oakley chiave determinazione protocollo: Diffie-Hellman L'algoritmo è usato per due entità autenticate di negoziare e di essere d'accordo su una chiave segreta.
- Security Association (SA): Una SA è un rapporto tra i dispositivi che definiscono il modo in cui utilizzare i servizi di sicurezza e delle impostazioni.
- Triple Data Encryption (3DES): Questo è un forte algoritmo di cifratura utilizzato su macchine client con sistema operativo Windows, e Windows Server 2003. 3DES utilizza 56-bit di chiavi di cifratura.
Comprensione IPSec Come Funziona
Una associazione di protezione (SA) deve prima essere stabilita tra due computer prima che i dati possono essere passati al sicuro tra i computer. UN Security Association (SA) è una relazione tra i dispositivi che definiscono il modo in cui utilizzare i servizi di sicurezza e delle impostazioni. La SA fornisce le informazioni necessarie per due computer di comunicare in modo sicuro. Internet Security Association e Key Management Protocol (ISAKMP) e il protocollo IKE sono il meccanismo che consente di due computer di stabilire associazioni di protezione. Quando viene stabilita una SA tra due computer, il computer su cui negoziare per utilizzare le impostazioni di sicurezza per la protezione dei dati. Una delle chiavi di protezione siano scambiate e utilizzate per consentire al computer di comunicare in modo sicuro.
L'associazione di protezione (SA), contiene il seguente testo:
- L'accordo politico che impone che gli algoritmi e le principali lunghezze i due computer utilizzeranno per la sicurezza dei dati.
- Le chiavi di sicurezza utilizzate per garantire la comunicazione dei dati.
-
L'indice dei parametri di sicurezza (SPI).
Con IPSec, due SCS sono stabiliti per ogni direzione di comunicazione dei dati:
- Uno SA protegge il traffico in entrata.
- Uno SA protegge il traffico in uscita.
In aggiunta a quanto sopra, vi è un unico SA per ogni protocollo di sicurezza IPSec. Ci sono quindi essenzialmente due tipi di SCS:
- ISAKMP SA: Quando il flusso di traffico è di due direzionali e IPSec necessità di stabilire una connessione tra computer, uno ISAKMP SA è stabilito. La SA ISAKMP definisce e gestisce i parametri di sicurezza tra i due computer. I due computer accordo su una serie di elementi per stabilire la ISAKMP SA:
- Stabilire le connessioni che devono essere autenticate.
- Determinare l'algoritmo di cifratura da usare.
- Determinare l'algoritmo per verificare l'integrità del messaggio.
Dopo gli elementi di cui sopra sono stati negoziati tra i due computer, il computer utilizza il protocollo Oakley a mettersi d'accordo sulla chiave principale ISAKMP. Questa è la chiave principale condivisa che verranno utilizzati con gli elementi di cui sopra per consentire la comunicazione sicura dei dati.
Dopo un canale di comunicazione è garantita stabilita tra i due computer, il computer inizia a trattare i seguenti elementi:
- Determinare se l'autenticazione Header (AH) protocollo IPSec dovrebbe essere utilizzato per la connessione.
-
Determinare il protocollo di autenticazione che deve essere usato con la AH protocollo per la connessione.
- Determinare se il Encapsulating Security Payload (ESP) protocollo IPSec dovrebbe essere utilizzato per la connessione.
- Determinare l'algoritmo di cifratura che deve essere usato con l'ESP di protocollo per la connessione.
- SA IPSec: IPSec SCS riferiscono al tunnel IPSec e pacchetti IP, e di definire parametri di sicurezza da utilizzare durante una connessione. Il IPSec SA è derivato da quattro elementi di cui sopra appena negoziato tra i due computer.
Per garantire e proteggere i dati, utilizza la crittografia IPSec per fornire le seguenti funzionalità:
- Autenticazione: Autenticazione si occupa di verificare l'identità del computer inviando i dati, o l'identità del computer che riceve i dati. I metodi che IPSec può essere utilizzato per autenticare il mittente o il destinatario di dati sono i seguenti:
- I certificati digitali: Fornisce la maggior parte dei mezzi sicuri di autenticare le identità. Autorità di certificazione (CA), come Netscape, Entrust, VeriSign, Microsoft e fornire i certificati che possono essere utilizzati per scopi di autenticazione.
- Autenticazione Kerberos: Un ribasso di utilizzare il protocollo di autenticazione Kerberos v5 è che l'identità del computer rimane in chiaro fino al punto che l'intero carico è codificato in autenticazione.
-
Pre-Shared chiavi, deve essere utilizzato quando nessuno dei precedenti metodi di autenticazione può essere utilizzato.
Anti-replay garantisce che i dati di autenticazione non possono essere interpretati nel senso che viene inviato attraverso la rete. In aggiunta all'autenticazione, IPSec può fornire nonrepudiation. Con nonrepudiation, il mittente dei dati non può, in una fase successiva in realtà negare l'invio di dati.
- L'integrità dei dati: l'integrità dei dati si occupa di garantire che i dati pervenuti al destinatario non è stato manomesso. Un algoritmo di hashing è utilizzato per garantire che i dati non viene modificata in quanto è passato attraverso la rete. L'algoritmo di hashing che possono essere utilizzati da IPSec sono:
- Message Digest (MD5), un one-way hash che i risultati in un hash a 128-bit che viene utilizzato per il controllo di integrità.
- Secure Hash Algorithm 1 (SHA1), un 160-bit chiave segreta per la generazione di un messaggio di 160-bit digerire che fornisce una maggiore sicurezza rispetto MD5.
- Riservatezza dei dati: IPSec garantisce la riservatezza dei dati mediante l'applicazione di algoritmi di cifratura dei dati prima che sia inviato attraverso la rete. Se i dati vengono intercettate, la crittografia garantisce che l'intruso non può interpretare i dati. Per garantire la riservatezza dei dati, IPSec può utilizzare uno dei seguenti algoritmi di cifratura:
- Data Encryption Standard (DES); l'algoritmo di cifratura utilizzato di default in Windows Server 2003 che utilizza 56-bit.
-
Tripla DEC (3DES); i dati vengono crittografati con una chiave, decifrati con un altro tasto, e di nuovo codificato con una chiave diversa.
- 40-bit DES, l'algoritmo di cifratura meno sicura.
Comprendere le modalità di IPSec
IPSec può operare in uno dei seguenti modi:
- Tunnel modalità: la modalità tunnel IPSec può essere utilizzato per fornire la sicurezza per la rete WAN e le connessioni VPN che utilizzano Internet come mezzo di connessione. In modalità tunnel, la codifica IPSec intestazione IP e il periodo di carico. Con il tunneling, i dati contenuti in un pacchetto è incapsulato all'interno di un pacchetto supplementare. Il nuovo pacchetto viene inviato attraverso la rete.
Modalità tunnel viene utilizzato in genere per le seguenti configurazioni:
- Server per server
- Server per il gateway
- Gateway to Gateway
Il processo di comunicazione che si verifica quando la modalità tunnel è definito come la modalità IPSec è dettagliata di seguito:
- I dati sono trasmessi utilizzando indifeso datagrammi IP da un computer sulla rete privata.
- Quando i pacchetti arrivano al router, il router incapsula il pacchetto utilizzando IPSec protocolli di sicurezza.
- Il router poi avanti il pacchetto al router a l'altra estremità della connessione.
- Questo router controlli l'integrità del pacchetto.
- Il pacchetto è decifrati.
-
I dati di partenza del pacchetto, si aggiunge indifeso datagrammi IP e inviata al computer di destinazione sulla rete privata.
- Modalità di trasporto: Questa è la modalità di funzionamento di default utilizzati da IPSec in cui solo il periodo di carico è crittografata tramite il protocollo AH o ESP protocollo. Modo di trasporto utilizzato per end-to-end di sicurezza per le comunicazioni tra due computer in rete.
Componenti IPSec
I due principali componenti installati quando IPSec è implementato sono:
- Agente criteri IPSec: Questo è un servizio in esecuzione su un computer che esegue Windows Server 2003 che accede criterio IPSec informazioni. L'Agente criteri IPSec accede al criterio IPSec informazioni né nel Registro di sistema di Windows o in Active Directory. Le principali funzioni che l'Agente criteri IPSec fornisce sono elencati di seguito:
- L'Agente criteri IPSec passa l'informazione del driver IPSec.
- L'Agente criteri IPSec IPSec accede a informazioni da parte della politica locale Registro di sistema di Windows quando il computer non appartiene a un dominio.
- L'Agente criteri IPSec accessi criterio IPSec informazioni da Active Directory quando il computer è membro di un dominio.
- L'Agente criteri IPSec scansioni criteri IPSec per eventuali modifiche di configurazione.
- IPSec conducente: Il IPSec conducente svolge una serie di operazioni di sicurezza per consentire la comunicazione in rete, compresi i seguenti:
- Crea pacchetti IPSec
- Genera checksums.
- Inizia la comunicazione IKE
-
Aggiunge l'header AH ed ESP
- Cripta i dati prima di essere trasmessi.
- Calcola hash e checksum per i pacchetti in arrivo
Comprensione protocolli IPSec
Come menzionato in precedenza, i principali protocolli di sicurezza IPSec sono l'autenticazione Header (AH) e Encapsulating Security Payload (ESP) protocolli. Vi sono altri protocolli IPSec come ISAKMP, IKE, Oakley e che utilizzano il algoritmo Diffie-Hellman.
Authentication Header (AH) Il protocollo
Il protocollo AH fornisce i seguenti servizi di sicurezza per la protezione dei dati:
- Autenticazione
- Anti-replay
- L'integrità dei dati
Il AH protocollo garantisce che i dati non siano modificati come si muove attraverso la rete. Essa garantisce inoltre che i dati originati da parte del mittente.
Il protocollo AH non se fornire riservatezza dei dati perché non cifrare i dati contenuti nei pacchetti IP. Ciò significa che, se il protocollo AH è usato da solo; intrusi che sono in grado di catturare i dati sarebbero in grado di leggere i dati. Essi però non essere in grado di modificare i dati. Il protocollo AH può essere utilizzato in combinazione con il protocollo ESP se avete la necessità di garantire la riservatezza dei dati, come pure.
Il processo di comunicazione che si verifica quando il protocollo AH è utilizzato è mostrato qui sotto:
- Un computer trasmette dati a un altro computer.
-
L'intestazione IP, AH header, e il dato in sé è firmato per garantire l'integrità dei dati.
- L'header AH è inserito tra le intestazione IP e IP payload di fornire l'autenticazione e integrità.
I campi all'interno di un header AH, insieme con il ruolo svolto da ciascun campo è qui elencati:
- Next Header; usato per specificare il tipo di carico utile IP attraverso il protocollo IP ID che esiste dopo questa intestazione AH.
- Lunghezza; indica la lunghezza del AH header.
- Parametri di sicurezza Index (SPI); indica la corretta associazione di protezione per la comunicazione attraverso una combinazione delle seguenti operazioni:
- Protocollo di sicurezza IPSec.
- Indirizzo IP della destinazione
- Numero di sequenza; IPSec utilizzato per fornire protezione anti-replay per la comunicazione. Il numero inizia a 1, ed è incrementato di 1 a ciascun pacchetto. I pacchetti che hanno lo stesso numero d'ordine e di sicurezza associazione vengono scartati.
- Autenticazione dei dati; detiene il controllo di integrità valore (ICV), calcolato con l'invio del computer per fornire l'integrità dei dati e l'autenticazione. Il computer calcola la ricezione ICV il intestazione IP, AH header, payload e IP, e poi confronta i due valori ICV.
Encapsulating Security Payload (ESP) protocollo
Il protocollo ESP fornisce i seguenti servizi di sicurezza per la protezione dei dati:
- Autenticazione
- Anti-replay
- L'integrità dei dati
- Riservatezza dei dati
La principale differenza tra il protocollo AH e ESP protocollo è che il protocollo di ESP offre tutti i servizi di sicurezza previste dal protocollo AH, insieme con la riservatezza dei dati attraverso la crittografia. ESP può essere utilizzato di per sé, e può essere utilizzato insieme con il protocollo AH. In modalità di trasporto, il protocollo ESP solo segni e protegge il periodo di carico. L'intestazione IP non è protetto. Se il protocollo ESP è utilizzato insieme con il protocollo AH, allora l'intero pacchetto è firmato.
ESP ESP inserisce uno intestazione e rimorchio ESP, che in fondo racchiude il payload del datagramma IP. Tutti i dati dopo l'intestazione ESP, fino al punto del rimorchio ESP, e l'effettivo rimorchio ESP è crittografata.
I campi all'interno di un header di ESP, con il ruolo svolto da ciascun campo vengono elencate qui:
- Parametri di sicurezza Index (SPI); indica la corretta associazione di protezione per la comunicazione attraverso una combinazione delle seguenti operazioni:
- Protocollo di sicurezza IPSec.
- Indirizzo IP della destinazione
- Numero di sequenza; IPSec utilizzato per fornire protezione anti-replay per la comunicazione. Il numero inizia a 1, ed è incrementato di 1 a ciascun pacchetto. I pacchetti che hanno lo stesso numero d'ordine e di sicurezza associazione vengono scartati.
I campi all'interno di un rimorchio ESP, insieme con il ruolo svolto da ciascun campo vengono elencate qui:
- Imbottitura; richiesto dalla algoritmo di cifratura per garantire che i confini sono presenti byte.
- Imbottitura Lunghezza; indica la lunghezza (byte) di imbottitura che è stato utilizzato nel riempimento campo.
- Next Header; usato per specificare il tipo di carico utile IP attraverso il protocollo IP ID.
- Autenticazione dei dati; detiene il controllo di integrità valore (ICV), calcolato con l'invio del computer per fornire l'integrità dei dati e l'autenticazione. Il computer calcola la ricezione ICV il intestazione IP, AH header, payload e IP, e poi confronta i due valori ICV.
Filtri di sicurezza IPSec intesa, i metodi di sicurezza e politiche di sicurezza
Sicurezza filtri corrispondono protocolli di sicurezza ad uno specifico indirizzo di rete. Filtri IPSec può essere utilizzato per filtrare il traffico non autorizzato. Il filtro contiene le seguenti informazioni:
- Fonte e la destinazione indirizzo IP
- Protocollo utilizzato
- Fonte e la destinazione dei porti
Ogni indirizzo IP contiene un ID di rete e di una porzione host ID porzione. Attraverso i filtri di sicurezza, è possibile filtrare il traffico in base ai seguenti elementi:
- Traffico consentito di passare attraverso
- Del traffico per garantire la
- Per bloccare il traffico
Filtri di sicurezza possono essere raggruppati in un elenco di filtri. Non vi è alcun limite al numero di filtri che possono essere inclusi in un elenco di filtri. Criteri IPSec utilizza filtri IP per verificare se un indirizzo IP di sicurezza di norma dovrebbe essere usato in un pacchetto.
È possibile utilizzare un metodo di sicurezza per specificare il modo in cui un criterio IPSec dovrebbe trattare il traffico di corrispondenza con un indirizzo IP filtro. Metodi di sicurezza sono indicati anche come filtro azioni. Il filtro azioni risultato in uno dei seguenti eventi:
- Duplica traffico
- Consente di traffico
- Negozia sicurezza.
Per applicare la sicurezza in rete, criteri IPSec vengono utilizzati. I criteri IPSec definire quando e come i dati devono essere protetti. I criteri IPSec anche stabilire quali metodi di sicurezza per garantire l'uso, quando i dati a diversi livelli della rete. È possibile configurare i criteri IPSec in modo che i diversi tipi di traffico sono colpiti da ogni singolo politica.
I criteri IPSec possono essere applicati ai seguenti livelli all'interno di una rete:
- Di dominio di Active Directory
- Sito di Active Directory
-
Unità organizzativa di Active Directory
- Computer
- Applicazioni
Le diverse componenti di un criterio IPSec sono elencati qui:
- Filtri IP; informa il conducente IPSec sul tipo di traffico in entrata e in uscita del traffico, che dovrebbe essere garantito.
- Elenco filtri IP, utilizzato per raggruppare più filtri IP in un unico elenco, al fine di isolare una serie specifica di traffico di rete.
- Filtro d'azione; utilizzati per definire le modalità di IPSec conducente dovrebbe garantire traffico.
- Metodo di sicurezza, si riferisce a tipi di sicurezza e gli algoritmi utilizzati per il processo di scambio e di chiave per l'autenticazione.
- Tipo di connessione: identifica il tipo di connessione che il criterio IPSec impatti.
- Tunnel impostazione; endpoint del tunnel l'indirizzo IP / Regola; un raggruppamento dei seguenti componenti per garantire uno specifico sottoinsieme di traffico in modo particolare:
- Filtri IP
- Filtro d'azione.
- Metodo di sicurezza
- Tipo di connessione
- Tunnel impostazione.
Bookmark intesa IPSec
Ultimi post sul blog