Die grundlegenden Funktionen von IPSec sind:
- Authentifizierung, schützt das private Netzwerk und die privaten Daten, die sie enthält. IPSec sichert private Daten von Man-in-the-Middle-Attacken, von Angreifer versuchen, auf das Netzwerk zugreifen, und von einem Angreifer ändern den Inhalt der Datenpakete.
- Verschlüsselung; verbirgt den eigentlichen Inhalt der Daten-Pakete, so dass sie nicht interpretiert werden kann durch Unbefugte ab.
IPSec kann verwendet werden, um die Paketfilterung Fähigkeiten. Es kann auch Authentifizierung zwischen zwei Hosts und verschlüsseln den Datenverkehr zwischen den Hosts. IPSec kann verwendet werden, um ein virtuelles privates Netzwerk (VPN). IPSec kann auch verwendet werden, um die Kommunikation zwischen Fernbedienung und Remote Access-Kunden über das Internet.
IPSec arbeitet auf der Netzwerkebene, die Ende-zu-Ende-Verschlüsselung. Dies bedeutet, dass die Daten verschlüsselt auf dem Quell-Computer das Senden der Daten. Alle Zwischen-Systeme mit den verschlüsselten Teil der Pakete als Nutzlast. Intermediate wie Router nur uns das Paket an ihren endgültigen Bestimmungsort. Intermediate-Systeme nicht entschlüsselt die verschlüsselten Daten. Die verschlüsselten Daten werden nur dann entschlüsselt, wenn sie das Ziel.
IPSec-Schnittstellen mit den TCP / UDP-Transport-Schicht und der Internet-Schicht, die transparent ist und zu den Anwendungen. IPSec ist transparent für die Benutzer als auch. Dies bedeutet, dass IPSec-Sicherheit kann für die meisten der Protokolle der TCP / IP-Protokoll-Suite. Wenn es um Anwendungen, alle Anwendungen, die TCP / IP können Sie die Sicherheitsmerkmale von IPSec. Sie verfügen nicht über die zum Konfigurieren der Sicherheit für jeden einzelnen TCP / IP-basierte Anwendung. Durch den Einsatz von Regeln und Filter, IPSec können Netzwerkverkehr und wählen Sie die gewünschte Sicherheit Protokolle fest, welche Algorithmen zu verwenden, und kann sich kryptographische Schlüssel, die einen der Dienste.
Die Sicherheits-Features und Funktionen von IPSec verwendet werden können, um das private Netzwerk und privaten vertraulichen Daten aus den folgenden
- Denial-of-Service (DoS)-Attacken
- Daten pilfering.
- Daten der Korruption.
- Diebstahl von Anmeldeinformationen
In Windows Server 2003, IPSec verwendet die Authentication Header (AH) Protokoll und Encapsulating Security Payload (ESP) Protokoll, um Daten über die Sicherheit:
- Client-Computer
- Domain Server
- Corporate Arbeitsgruppen
- Local Area Networks (LANs)
- Wide Area Networks (WANs)
- Remote-Büros
Die Sicherheits-Funktionen und Features, die von IPSec sind im Folgenden zusammengefasst:
- Authentifizierung, eine digitale Signatur wird verwendet, um die Identität des Absenders der Informationen. IPSec können Kerberos, einem vorinstallierten Schlüssel, oder digitale Zertifikate für die Authentifizierung.
- Die Integrität der Daten, eine Hash-Algorithmus wird verwendet, um sicherzustellen, dass die Daten nicht manipuliert wird. Eine Prüfsumme als Hash Message Authentication Code (HMAC) wird für die Daten des Pakets. Wenn ein Paket verändert wird, während auf der Durchreise, die berechnete HMAC Änderungen. Diese Änderung wird, die von dem empfangenden Computer.
- Datenschutz; Verschlüsselungs-Algorithmen verwendet werden, um sicherzustellen, dass die übermittelten Daten ist nicht entzifferbar.
-
Anti-Replay, verhindert, dass ein Angreifer Nachsenden von Paketen in einem Versuch, den Zugang zu dem privaten Netzwerk.
- Nonrepudiation; öffentlichen Schlüssel digitale Signaturen verwendet werden, um Mitteilung Herkunft.
- Dynamische Rekeying; Tasten können während der Datenübertragung zu schützen Segmente der Kommunikation mit verschiedenen Schlüsseln.
- Key Generation, das Diffie-Hellman-Schlüssel Vereinbarung Algorithmus wird benutzt, um die beiden Computer für den Austausch einer gemeinsamen Schlüssel.
- IP-Paketfilterung, die Paketfilterung Fähigkeit von IPSec kann verwendet werden, zu filtern und blockieren bestimmte Arten von Datenverkehr, die sich auf eines der folgenden Elemente oder einer Kombination von ihnen:
- IP-Adressen
- Protokolle
- Häfen
Was Neues in Windows Server 2003-IPSec -
Ein paar neue IPSec-Funktionen sind in Windows Server 2003, zusammen mit einigen Verbesserungen an IPSec-Funktionen, die es in früheren Windows-Betriebssysteme:
- Windows Server 2003 enthält die neue IP-Security Monitor Tool, das ist als MMC-Snap-In. Die IP-Security-Monitor-Tool bietet eine verstärkte Überwachung der Sicherheit von IPSec. Mit dem IP-Security-Monitor-Tool, können Sie folgende administrative Tätigkeiten:
- Passen Sie die IP-Security-Monitor-Anzeige
- IPSec-Monitor Informationen auf dem lokalen Computer.
- IPSec-Monitor Informationen auf Remote-Computern.
- Profil von IPSec-Statistiken.
-
Anzeigen von Informationen über die IPSec-Richtlinien
- Informationen anzeigen Sicherheit Verbände.
- Profil von generischen Filter
- View spezifische Filter
- Suche nach spezifischen Filter auf der Basis von IP-Adresse
- Sie können mit der IPSec-Netsh Befehlszeilenprogramm. Die netsh Befehlszeilenprogramm ersetzt die bisher verwendeten Ipsecpol.exe Befehlszeilenprogramm.
- IPSec unterstützt die neuen Resultant Set of Policy (RSoP)-Funktion von Windows Server 2003. Die daraus resultierenden Set of Policies (RSoP) Rechner verwendet werden können, um die Politik, die auf einen bestimmten Benutzer oder Computer. Sich daraus ergebenden Set of Policy (RSoP) fasst alle Maßnahmen, die Gruppe auf einen Benutzer und Computer in einer Domäne. Dies gilt auch für alle Filter und Ausnahmen. Sie können die Funktion durch den sich daraus ergebenden Set of Policy (RSoP)-Assistenten oder in der Befehlszeile, um die IPSec-Richtlinie, die angewendet wird.
- IPSec-Integration mit Active Directory ermöglicht die zentrale Verwaltung von Sicherheitsrichtlinien.
- Kerberos 5-Authentifizierung ist die Standard-Authentifizierungsmethode, die von IPSec-Richtlinien zur Überprüfung der Identität von Computern.
- IPSec ist rückwärts kompatibel mit dem Windows 2000 Security Framework.
-
Wenn eine lokale oder Active Directory-Politik kann nicht auf einem Computer, Sie haben nun die Möglichkeit der Schaffung einer Politik für die spezifischen Computer. Die Eigenschaften von persistenten Maßnahmen sind:
- Persistente Politik kann nur mit Hilfe der Netsh Befehlszeilenprogramm.
- Persistente sind immer positiv.
- Anhaltende Maßnahmen können nicht überschrieben werden.
- In Windows Server 2003-IPSec-Implementierungen, nur Internet Key Exchange (IKE) der Verkehr von IPSec. Früher, Resource Reservation Protocol (RSVP) Verkehr, Kerberos-Verkehr, und IKE-Verkehr von IPSec.
- IPSec in Windows Server 2003 enthält Unterstützung für die Gruppe 3 2048-Bit-Diffie-Hellman-Schlüsselaustausch. Die Gruppe 3 wird viel stärker und komplexer als die vorherigen Gruppe 2 1024-Bit-Diffie-Hellman-Schlüsselaustausch. Wenn Sie jedoch die Kompatibilität mit Windows 2000 und Windows XP, dann müssen Sie die Gruppe 2 1024-Bit-Diffie-Hellman-Schlüsselaustausch.
-
IPSec-ESP-Pakete können über Network Address Translation Authentication Header (AH): Dies ist eine der wichtigsten Sicherheits-Protokolle, die von IPSec. AH enthält Daten-Authentifizierung und Integrität, und kann daher verwendet werden, auf ihre eigenen Daten, wenn die Integrität und Authentifizierung sind relevante Faktoren und die Vertraulichkeit ist es nicht. Dies liegt daran, dass AH ist, nicht für die Verschlüsselung, und kann daher nicht die Vertraulichkeit der Daten. Authentication Header (AH) und Encapsulating Security Payload (ESP) sind die wichtigsten Sicherheits-Protokolle verwendet IPSec. Diese Protokolle und der Sicherheit genutzt werden können getrennt oder zusammen.
- Encapsulating Security Payload (ESP): Dies ist eine der wichtigsten Sicherheits-Protokolle, die von IPSec. ESP sorgt für Vertraulichkeit der Daten durch Verschlüsselung, Datenintegrität, Daten-Authentifizierung und andere Funktionen, die optional Anti-Replay-Dienstleistungen. Um sicherzustellen, dass die Vertraulichkeit der Daten, eine Reihe von symmetrischen Verschlüsselungs-Algorithmen verwendet werden.
- Certificate Authorities (CAs): Dies ist ein Unternehmen, das digitale Zertifikate und validiert. Die CA fügt seine eigene Unterschrift auf den öffentlichen Schlüssel des Kunden. CA, und den Widerruf von digitalen Zertifikaten.
- Diffie-Hellman-Gruppen: Diffie-Hellman-Key-Abkommen ermöglicht es zwei Computer zur Schaffung eines gemeinsamen privaten Schlüssel, verschlüsselt und authentifiziert Daten ein IP-Datagramm. Die verschiedenen Diffie-Hellman-Gruppen sind hier aufgelistet:
- Gruppe 1; bietet 768-Bit-Schlüssel Stärke
- Gruppe 2; bietet 1024-Bit-Schlüssel Stärke
- Gruppe 3; die 2048-Bit-Schlüssel Stärke
- Internet Key Exchange (IKE): Die IKE-Protokoll wird von Computern, um eine Security Association (SA) und den Austausch von Informationen, um Diffie-Hellman-Schlüssel. IKE verwaltet und den Austausch kryptographischer Schlüssel, so dass Computer kann über eine gemeinsame Reihe von Sicherheits-Einstellungen. Verhandlungen tritt, auf die Authentifizierungsmethode, und Verschlüsselungs-Algorithmus und Hash-Algorithmus der Computer verwendet wird.
- IPSec-Treiber: Der IPSec-Treiber führt eine Reihe von Maßnahmen, um sichere Netzwerk-Kommunikation, einschließlich der folgenden:
- Erstellt IPSec-Pakete
- Erzeugt Prüfsummen.
- Startet den IKE-Kommunikation
- Fügt die AH-und ESP-Header
- Daten verschlüsselt, bevor sie übertragen werden.
- Berechnet Hash-Werte und Prüfsummen für eingehende Pakete.
- IPSec-Richtlinien: IPSec-Richtlinien definieren, wann und wie die Daten gesichert werden sollten, und legt fest, welche Methoden zur Sicherheit für die Sicherung der Daten. IPSec-Richtlinien enthalten eine Reihe von Elementen:
- Aktionen.
- Regeln
- Filter-Listen
- Filter Aktionen.
- IPSec-Richtlinien-Agent: Dies ist ein Dienst, der auf einem Computer mit Windows Server 2003, das auf IPSec-Richtlinie Informationen. Die IPSec-Richtlinien-Agent auf die IPSec-Richtlinie Informationen entweder in der Windows-Registrierung oder in Active Directory.
-
Oakley Schlüssel Bestimmung Protokoll: Die Diffie-Hellman-Algorithmus wird für zwei Personen authentifiziert zu verhandeln und sich im Einvernehmen auf einen geheimen Schlüssel.
- Security Association (SA): Eine SA ist eine Beziehung zwischen den Geräten, die festlegen, wie sie die Sicherheit und Einstellungen.
- Triple Data Encryption (3DES): Dies ist ein starker Verschlüsselungsalgorithmus auf Client-Computern mit Windows und Windows Server 2003-Computer. 3DES verwendet 56-Bit-Schlüssel für die Verschlüsselung.
Zu verstehen, wie IPSec-Werke
Eine Security Association (SA) ist zunächst zwischen zwei Computern, bevor Daten lässt sich zwischen den Computern. Eine Security Association (SA) ist eine Beziehung zwischen den Geräten, die festlegen, wie sie die Sicherheit und Einstellungen. Die SA liefert die Informationen, die für zwei Computer für die Kommunikation sicher. Internet Security Association und Key Management Protocol (ISAKMP) und die IKE-Protokoll sind der Mechanismus, mit zwei Computern, um die Sicherheit Verbände. Wenn eine SA ist zwischen zwei Computern, die Computer, die Verhandlungen über die Sicherheitseinstellungen zu nutzen, um Daten zu schützen. Eine Sicherheit wird ausgetauscht und genutzt werden, damit der Computer für die Kommunikation sicher.
Die Security Association (SA) enthält die folgenden:
- Die Vereinbarung bestimmt, die die Algorithmen und Schlüssellängen von den beiden Computern verwenden um Daten zu schützen.
- Die Sicherheit Schlüssel zur sicheren Datenkommunikation.
-
Die Sicherheit Parameter Index (SPI).
Mit IPSec, zwei separate SAs werden für jede Richtung der Daten-Kommunikation:
- Ein SA sichert eingehenden Datenverkehr.
- Ein SA sichert ausgehenden Datenverkehr.
Zusätzlich zu den oben genannten, gibt es eine einzigartige SA für jede IPSec-Sicherheitsprotokoll. Es gibt also grundsätzlich zwei Arten von SAS:
- ISAKMP SA: Wenn der Verkehr fließen zwei Richtungs-und IPSec muss, um eine Verbindung zwischen den Computern, eine ISAKMP SA wird. Die ISAKMP SA definiert und bearbeitet Sicherheit Parameter zwischen den beiden Computern. Die beiden Rechner über eine Reihe von Elementen, die ISAKMP SA:
- Bestimmen Sie, welche Verbindungen authentifiziert werden sollen.
- Bestimmen Sie die Verschlüsselungs-Algorithmus zu verwenden.
- Bestimmen Sie den Algorithmus zur Überprüfung der Integrität Nachricht.
Nach der oben genannten Elemente wurden zwischen den zwei Computern, die Computer verwenden die Oakley-Protokoll zu vereinbaren, die ISAKMP Hauptschlüssel. Dies ist der gemeinsame Master-Schlüssel, wird mit den oben genannten Elemente, um sichere Daten-Kommunikation.
Nach einem gesicherten Kommunikations-Kanal zwischen den zwei Computern, die Computer starten, um Verhandlungen über die folgenden Elemente:
- Bestimmen Sie, ob der Authentication Header (AH) IPSec-Protokoll verwendet werden soll für die Verbindung ein.
- Bestimmen Sie die Authentifizierungs-Protokoll, das verwendet werden soll mit dem AH-Protokoll für die Verbindung ein.
- Bestimmen Sie, ob die Encapsulating Security Payload (ESP) IPSec-Protokoll verwendet werden soll für die Verbindung ein.
- Bestimmen Sie die Verschlüsselungs-Algorithmus, der verwendet werden soll mit dem ESP-Protokoll für die Verbindung ein.
- IPSec SA: IPSec SAs beziehen sich auf den IPSec-Tunnel-und IP-Paket, und definieren Sicherheit Parameter, die während einer Verbindung. Die IPSec-SA ist aus den oben genannten vier Elemente nur zwischen den beiden Computern.
Zur Sicherung und zum Schutz der Daten, IPSec-Verschlüsselung verwendet, um die folgenden Fähigkeiten:
- Authentifizierung: Authentifizierung beschäftigt sich mit der Überprüfung der Identität des Computers, das Senden der Daten, oder die Identität des Computers, die die Daten erhält. Die Methoden, die IPSec verwenden können, in denen die Absender oder Empfänger der Daten sind:
- Digitale Zertifikate: Bietet die sichere Authentifizierung der Identität. Certificate Authorities (CAs) wie Netscape, Entrust, VeriSign und Microsoft bieten Zertifikate, die sich für die Authentifizierung verwendet werden.
- Kerberos-Authentifizierung: Ein Nachteil der Verwendung der Kerberos V5-Authentifizierung-Protokoll ist, dass die Identität des Computers bleibt unverschlüsselt bis zu dem Punkt, dass die gesamte Nutzlast verschlüsselt auf Authentifizierung.
-
Pre-Shared Keys, sollte verwendet werden, wenn keiner der ehemaligen Authentifizierungsmethoden verwendet werden kann.
Anti-Wiedergabe sorgt dafür, dass die Authentifizierungs-Daten können nicht interpretiert werden, da sie über das Netzwerk gesendet. Neben der Authentifizierung, IPSec kann nonrepudiation. Mit nonrepudiation, den Absender der Daten kann nicht zu einem späteren Zeitpunkt in Abrede tatsächlich das Senden der Daten.
- Die Integrität der Daten: Die Daten Integrität befasst sich mit der Sicherstellung, dass die Daten beim Empfänger nicht manipuliert wurde. Ein Hash-Algorithmus wird verwendet, um sicherzustellen, dass die Daten nicht verändert, da es wird über das Netzwerk. Die Hash-Algorithmen, die benutzt werden können, indem IPSec sind:
- Message Digest (MD5), eine Einweg-Hash, dass die Ergebnisse in einem 128-Bit-Hash, die für die Überprüfung der Integrität.
- Secure Hash Algorithm 1 (SHA1), eine 160-Bit-Schlüssel, um einen 160-Bit-Message Digest, die mehr Sicherheit als MD5.
- Vertraulichkeit der Daten: IPSec gewährleistet die Vertraulichkeit der Daten durch Verschlüsselungs-Algorithmen, um Daten, bevor sie über das Netzwerk gesendet. Wenn die Daten abgefangen, Verschlüsselung sorgt dafür, dass der Eindringling nicht interpretieren können die Daten. Um sicherzustellen, dass die Vertraulichkeit der Daten, IPSec können Sie eine der folgenden Verschlüsselungs-Algorithmen:
- Data Encryption Standard (DES), die Standard-Verschlüsselungs-Algorithmus in Windows Server 2003, das 56-Bit-Verschlüsselung.
-
Triple DEC (3DES), Daten mit einem Schlüssel verschlüsselt, entschlüsselt mit einem anderen Schlüssel verschlüsselt und wieder mit einer anderen Taste.
- 40-Bit-DES, der am wenigsten sicheren Verschlüsselungs-Algorithmus.
Verständnis für die IPSec-Modi
IPSec kann in einem der folgenden Modi:
- Tunnel-Modus: IPSec-Tunnel-Modus kann verwendet werden, um die Sicherheit für die WAN-und VPN-Verbindungen, die das Internet als Medium der Verbindung. Im Tunnel-Modus, IPSec verschlüsselt die IP-Header und die IP-Nutzlast. Mit Tunneln, werden die Daten in einem Paket gekapselt in einem weiteren Paket. Das neue Paket wird dann über das Netzwerk gesendet.
Tunnel-Modus ist in der Regel für die folgenden Konfigurationen:
- Server zu Server
- Server-to-Gateway -
- Gateway zu Gateway
Der Prozess der Kommunikation, der auftrat, wenn Tunnel-Modus ist definiert als der IPSec-Modus finden Sie unter:
- Daten ungeschützt mit IP-Datagramme von einem Computer auf dem privaten Netzwerk.
- Wenn die Pakete am Router, den Router kapselt das Paket mit IPSec-Sicherheitsprotokolle.
- Der Router leitet dann das Paket an den Router am anderen Ende der Verbindung.
- Dieser Router prüft die Integrität des Pakets.
- Das Paket wird entschlüsselt.
-
Die Daten für das Paket dann in ungeschützte und IP-Datagramme an die Ziel-Computer, auf dem privaten Netzwerk.
- Transport-Modus: Dies ist die Standard-Betriebsart, die von IPSec, in dem nur die IP-Nutzlast wird verschlüsselt über das AH oder ESP-Protokoll Protokoll. Transport-Modus wird für die Ende-zu-Ende-Sicherheit-Kommunikation zwischen zwei Computern im Netzwerk.
IPSec-Komponenten
Der primäre zwei Komponenten installiert, wenn IPSec eingesetzt werden:
- IPSec-Richtlinien-Agent: Dies ist ein Dienst, der auf einem Computer mit Windows Server 2003, das auf IPSec-Richtlinie Informationen. Die IPSec-Richtlinien-Agent auf die IPSec-Richtlinie Informationen entweder in der Windows-Registrierung oder in Active Directory. Die wichtigsten Funktionen, die die IPSec-Richtlinien-Agent stellt, sind unten aufgeführt:
- Die IPSec-Richtlinien-Agent leitet Informationen an den IPSec-Treiber.
- Die IPSec-Richtlinien-Agent Zugriff auf IPSec-Richtlinie Informationen aus dem lokalen Windows-Registrierung, wenn der Computer gehört nicht zu einer Domäne.
- Die IPSec-Richtlinien-Agent Zugriff auf IPSec-Richtlinie Informationen aus dem Active Directory, wenn der Computer Mitglied einer Domäne.
- Die IPSec-Richtlinien-Agent-Scans IPSec-Richtlinien für die Konfiguration ändert.
- IPSec-Treiber: Der IPSec-Treiber führt eine Reihe von Maßnahmen, um sichere Netzwerk-Kommunikation, einschließlich der folgenden:
- Erstellt IPSec-Pakete
- Erzeugt Prüfsummen.
- Startet den IKE-Kommunikation
-
Fügt die AH-und ESP-Header
- Daten verschlüsselt, bevor sie übertragen werden.
- Berechnet Hash-Werte und Prüfsummen für eingehende Pakete
Verständnis für die IPSec-Protokolle
Wie bereits erwähnt, die IPSec-Sicherheitsprotokolle sind der Authentication Header (AH) und Encapsulating Security Payload (ESP) Protokolle. Es gibt auch andere Protokolle wie IPSec ISAKMP, IKE, und Oakley, die das Diffie-Hellman-Algorithmus.
Authentication Header (AH) Protokoll
Das AH-Protokoll bietet die folgenden Sicherheits-Dienstleistungen für die sichere Datenübertragung:
- Authentifizierung
- Anti-Replay
- Die Integrität der Daten
Das AH-Protokoll sorgt dafür, dass die Daten nicht verändert werden, da sie sich über das Netzwerk. Es sorgt auch dafür, dass die Daten aus dem Sender.
Das AH-Protokoll nicht aber die Vertraulichkeit der Daten, da sie nicht verschlüsselt die Daten, die in den IP-Paketen. Dies bedeutet, dass, wenn das AH-Protokoll wird von selbst, dass die Eindringlinge in der Lage sind, Daten zu erfassen in der Lage wäre, die Daten lesen. Sie würden allerdings nicht in der Lage die Daten zu ändern. Das AH-Protokoll kann verwendet werden, in Kombination mit dem ESP-Protokoll, wenn Sie zur Gewährleistung der Datensicherheit und Vertraulichkeit.
Die Kommunikations-Prozess, der auftritt, wenn das AH-Protokoll verwendet wird, ist hier zu sehen:
- Ein Computer überträgt die Daten auf einen anderen Computer.
-
Der IP-Header, AH-Header, und die Daten selbst zu gewährleisten, wird die Integrität der Daten.
- Der AH-Header wird zwischen dem IP-Header und die IP-Nutzlast, die Authentifizierung und Integrität.
Die Felder in einem AH-Header zusammen mit der Rolle, die von den einzelnen Bereichen finden Sie hier:
- Weiter Kopf; verwendet, um die Art der IP-Nutzlast durch die IP-Protokoll-ID, die es nach dieser AH-Header.
- Länge; zeigt die Länge des AH-Header.
- Security Parameter Index (SPI), die richtige Security Association für die Kommunikation durch eine Kombination der folgenden Eigenschaften:
- IPSec-Sicherheitsprotokoll.
- Ziel-IP-Adresse
- Sequence Number; verwendet, um den IPSec-Anti-Replay-Schutz für die Kommunikation. Die Sequenznummer beginnt bei 1, und ist um 1 erhöht sich in jedem Paket. Pakete, die der gleichen Reihenfolge und Security Association verworfen.
- Authentication Data; hält die Integrität prüfen Wert (ICV) berechnet, indem die sendende Computer, um die Integrität der Daten und der Authentifizierung. Der empfangende Computer berechnet den ICV über die IP-Header, AH-Header, und die IP-Nutzlast, und dann vergleicht die beiden Werte ICV.
Encapsulating Security Payload (ESP) Protokoll
Das ESP-Protokoll bietet die folgenden Sicherheits-Dienstleistungen für die sichere Datenübertragung:
- Authentifizierung
- Anti-Replay
- Die Integrität der Daten
- Vertraulichkeit der Daten
Der wesentliche Unterschied zwischen den AH-Protokoll und dem ESP-Protokoll ist, dass das ESP-Protokoll bietet alle Dienstleistungen, die die Sicherheit von der AH-Protokoll zusammen mit Vertraulichkeit der Daten durch Verschlüsselung. ESP kann auf seine eigenen, und es kann benutzt werden, zusammen mit dem AH-Protokoll. In Verkehrsträger, die ESP-Protokoll unterzeichnet und schützt nur die IP-Nutzlast. Der IP-Header ist nicht geschützt. Wenn die ESP-Protokoll wird zusammen mit dem AH-Protokoll, so auch das gesamte Paket ist unterzeichnet.
ESP wird ein ESP-Header und ESP-Trailer, die im Wesentlichen umschließt die Nutzlast des IP-Datagramm. Alle Daten nach dem ESP-Header auf den Punkt des ESP-Anhänger, und die tatsächliche Anhänger ESP verschlüsselt.
Die Felder in einem ESP-Header zusammen mit der Rolle, die von den einzelnen Bereichen finden Sie hier:
- Security Parameter Index (SPI), die richtige Security Association für die Kommunikation durch eine Kombination der folgenden Eigenschaften:
- IPSec-Sicherheitsprotokoll.
- Ziel-IP-Adresse
-
Sequence Number; verwendet, um den IPSec-Anti-Replay-Schutz für die Kommunikation. Die Sequenznummer beginnt bei 1, und ist um 1 erhöht sich in jedem Paket. Pakete, die der gleichen Reihenfolge und Security Association verworfen.
Die Felder in einem ESP-Trailer, zusammen mit der Rolle, die von den einzelnen Bereichen finden Sie hier:
- Padding; durch den Verschlüsselungs-Algorithmus, um sicherzustellen, dass Byte Grenzen sind.
- Padding Länge, gibt die Länge (Bytes) der Polsterung, die in der Padding Bereich.
- Weiter Kopf; verwendet, um die Art der IP-Nutzlast durch die IP-Protokoll-ID.
- Authentication Data; hält die Integrität prüfen Wert (ICV) berechnet, indem die sendende Computer, um die Integrität der Daten und der Authentifizierung. Der empfangende Computer berechnet den ICV über die IP-Header, AH-Header, und die IP-Nutzlast, und dann vergleicht die beiden Werte ICV.
Understanding IPSec Security Filter-, Sicherheits-Methoden, und Security Policies
Security Filter grundsätzlich mit Sicherheitsprotokolle zu einem bestimmten Netzwerk-Adresse. IPSec-Filter kann verwendet werden, um unbefugten Verkehr filtern. Der Filter enthält die folgenden Informationen:
- Quelle und Ziel-IP-Adresse
- Protokoll verwendet
- Quell-und Ziel-Ports
Jede IP-Adresse enthält eine Netzwerk-ID und einem Host-ID ist. Durch Filter können Sie Filter-Verkehr nach dem folgenden:
- Verkehr zugelassen, um durch
- Verkehr zu sichern
- Verkehr zu blockieren,
Security-Filter können in einen Filter-Liste. Es gibt keine Begrenzung für die Anzahl der Filter, die sich in einer Filter-Liste. IPSec-Richtlinien verwendet IP-Filter, um festzustellen, ob eine IP-Security-Regel verwendet werden soll in einem Paket.
Sie können eine Sicherheit Methode, um die Art und Weise, in dem eine IPSec-Richtlinie sollte mit einer IP-Verkehr passender Filter. Sicherheits-Methoden werden auch als Filter Aktionen. Die Filter-Maßnahmen in einer der folgenden Veranstaltungen:
- Erstellt Verkehr
- Ermöglicht Verkehr
- Verhandelt Sicherheit.
Um die Sicherheit in Ihrem Netzwerk, IPSec-Richtlinien verwendet werden. Die IPSec-Richtlinien definieren, wann und wie die Daten gesichert werden sollten. Die IPSec-Richtlinien auch bestimmen, welche Methoden für die Sicherheit verwendet werden, wenn die Sicherung der Daten auf den verschiedenen Ebenen in Ihrem Netzwerk. Sie können IPSec-Richtlinien, so dass verschiedene Arten von Verkehr betroffen sind von den einzelnen Maßnahmen.
IPSec-Richtlinien können auf folgenden Ebenen in einem Netzwerk:
- Active Directory-Domäne
- Active Directory-Standort
-
Active Directory-Organisationseinheit
- Computer
- Anwendungen
Die verschiedenen Komponenten einer IPSec-Richtlinie finden Sie hier:
- IP-Filter, informiert der IPSec-Treiber auf die Art des eingehenden Verkehrs-und ausgehenden Datenverkehr, die gesichert werden.
- IP-Filter-Liste, verwendet, um mehrere IP-Filter in einer einzigen Liste, um zu isolieren, eine bestimmte Anzahl von Netzwerk-Verkehr.
- Filter-Aktion; verwendet, um festzulegen, wie der IPSec-Treiber sollten sichere Verkehr.
- Sicherheits-Methode bezieht sich auf die Sicherheit und Algorithmen für die Schlüssel-Austausch und für die Authentifizierung.
- Verbindungstyp: die Art der Verbindung, die die IPSec-Richtlinie Auswirkungen.
- Tunnel-Einstellung, die Tunnel-Endpunkt die IP-Adresse und Artikel, eine Zusammenfassung der folgenden Komponenten, um eine spezifische Untergruppe von Verkehrsdaten in einer bestimmten Art und Weise:
- IP-Filter
- Filter Aktion.
- Sicherheits-Methode
- Anschlussart
- Tunnel Einstellung.
Bookmark Understanding IPSec
Neueste Blog-Posts