Professional Documents
Culture Documents
keselamatan rangkaian
BERKAITAN
COMMENTS
Ini teknologi primer vendor bertulis telah disunting oleh Rangkaian Dunia untuk
menghapuskan promosi produk, tetapi pembaca harus sedar ia mungkin akan
memihak kepada pendekatan penyerah.
pasukan keselamatan IT hari ini berhadapan dengan cepat bermutasi ancaman pada
setiap titik kemungkinan kemasukan - dari perimeter ke desktop; dari telefon bimbit ke
awan. Didorong oleh evolusi puasa landskap ancaman dan perubahan dalam
rangkaian dan keselamatan seni bina, pengurusan keselamatan rangkaian adalah jauh
lebih mencabar dan kompleks daripada hanya beberapa tahun yang lalu.
Pasukan keselamatan mesti menyokong mandat pematuhan dalaman dan luaran,
membolehkan perkhidmatan baru, mengoptimumkan prestasi, memastikan
ketersediaan, dan menyokong keupayaan untuk menyelesaikan masalah dengan
cekap pada permintaan yang tidak mempunyai ruang untuk kesilapan. Itu banyak untuk
mengimbangi apabila menguruskan keselamatan rangkaian.
Berikut adalah empat amalan terbaik penting bagi pengurusan keselamatan rangkaian:
# 1 Pengurusan Keselamatan Rangkaian Memerlukan Pandangan
Makro. Organisasi perlu pandangan holistik rangkaian mereka. Dengan peranti vendor
berbeza dan tuan rumah, pasukan keselamatan perlu normal, pandangan yang
menyeluruh rangkaian, termasuk: peraturan penghalaan, peraturan capaian, NAT,
VPN, dll .; semesta alam, termasuk semua produk (dan versi), perkhidmatan,
kelemahan, dan patch; dan aset, termasuk kumpulan aset dan klasifikasi.
Dengan pandangan yang komprehensif rangkaian, pasukan keselamatan boleh melihat
tuan rumah dalam rangkaian, serta konfigurasi, klasifikasi dan maklumat lain yang
berkaitan. A peta rangkaian atau model adalah kedua-dua alat visualisasi yang
berguna dan alat diagnostik, analisis menyediakan yang hanya boleh dilakukan apabila
mempertimbangkan pandangan keseluruhan. Sebagai contoh, keselamatan dan
lebih luas dan kemudian memberi tumpuan dalam pada peranti tertentu untuk
pengurusan.
# 3 Serangan Simulasi untuk Penilaian Risiko Konteks Mengetahui. Sekadar
mengetahui kelemahan rangkaian dan kritikal mereka tidak mencukupi untuk
memahami tahap sebenar risiko kepada organisasi. serangan hari ini sering
menggabungkan pelbagai langkah-langkah yang merentasi beberapa zon rangkaian
yang berbeza, dan pandangan yang terpencil mana-mana langkah-langkah ini boleh
muncul berbahaya.
teknologi simulasi serangan secara automatik melihat rangkaian holistik - aset
perniagaan, yang dikenali ancaman dan kelemahan - dan mengenal pasti apa yang
akan berlaku jika keadaan telah digabungkan. simulasi serangan juga boleh menilai
pilihan yang berpotensi untuk menyekat serangan, memberikan kebolehan untuk
sokongan keputusan. Memahami kemungkinan serangan dan kesan potensinya
terhadap sasaran berharga adalah kunci untuk menilai mana kelemahan dan ancaman
hantar risiko yang paling.
teknologi simulasi serangan melihat konteks rangkaian, kritikal aset, metrik perniagaan,
dan kawalan keselamatan yang sedia ada apabila menentukan kesan serangan yang
berpotensi. Sebagai contoh, jika aset berjalan satu aplikasi yang amat penting untuk
mengekalkan perniagaan dan memerlukan ketersediaan berterusan, kelemahan
sederhana tahap yang mengancam untuk melumpuhkan aset ini mungkin menjadi
risiko peringkat tinggi untuk perniagaan tertentu.
Kesan mengerahkan kawalan keselamatan tertentu juga perlu
dipertimbangkan.Mengekalkan IPS terus mod aktif boleh memberi kesan kepada
prestasi rangkaian. alat simulasi serangan membolehkan pasukan keselamatan untuk
menyasarkan penggunaan perlindungan IPS mereka, mengaktifkan hanya
tandatangan diperlukan, memaksimumkan prestasi, dan keutamaan kelemahan.
# 4 Selamat Pengurusan Perubahan Adakah Kritikal. Setelah rangkaian mematuhi,
proses pengurusan perubahan selamat diperlukan untuk mengekalkan pematuhan
berterusan dan mengesahkan bahawa perubahan yang dirancang tidak
memperkenalkan risiko baru. pengurusan perubahan selamat menggabungkan
penilaian risiko dalam merancang, proses yang seragam; bendera perubahan di luar
struktur ini, membolehkan pentadbir untuk mendamaikan perubahan dibenderakan dan
Troubleshoots di mana diperlukan. pengurusan perubahan selamat mengesahkan
bahawa perubahan telah dilaksanakan seperti yang sepatutnya, mengenal pasti
apabila perubahan telah tidak diingini akibat, dan menonjolkan perubahan yang tidak
diluluskan.
Sebagai contoh, pengurusan perubahan proses boleh bendera apabila perubahan
rangkaian akan mendedahkan kelemahan, apabila perubahan firewall membuka akses
kepada perkhidmatan berisiko, atau apabila terdapat laluan akses yang tidak
dibenarkan dari rakan kongsi untuk zon dalaman. Lebih penting lagi, untuk
mengekalkan keselamatan rangkaian, mengubah proses pengurusan boleh digunakan
untuk menentukan kesan perubahan yang dicadangkan sebelum melaksanakan
perubahan tersebut.
Melaksanakan empat amalan terbaik bagi pengurusan keselamatan rangkaian boleh
mengurangkan risiko di seluruh rangkaian. Dengan jarak penglihatan di kedua-dua
rangkaian dan tahap peranti, jumlah yang besar data ditukarkan kepada perisikan yang
deciphers transaksi keselamatan rangkaian rumit menjadi mudah diurus, maklumat
diambil tindakan. Dengan pandangan ini, simulasi serangan kemudian boleh
mengutamakan kelemahan dan menghapuskan vektor serangan yang paling kritikal
bagi organisasi, melindungi perkhidmatan perniagaan dan data. Akhir sekali,
pengurusan perubahan boleh mengautomasikan dan mengoptimumkan proses
keselamatan untuk meningkatkan keselamatan dan mengurangkan beban kerja
pengurusan keselamatan.
Skybox Security, Inc. adalah sebuah pembekal automatik, alat tidak mengganggu yang
mengesan, mengutamakan, dan memandu pemulihan risiko kritikal seperti kelemahan
terdedah dan kesilapan konfigurasi firewall.
https://technet.microsoft.com/en-us/library/cc959511.aspx
Keselamatan Internet
Protocol
Keselamatan Protokol Internet (IPSec) adalah satu rangka kerja standard terbuka bagi
memastikan swasta, komunikasi yang selamat melalui Protokol Internet rangkaian (IP),
melalui penggunaan perkhidmatan keselamatan kriptografi. The Microsoft Windows
2000 pelaksanaan IPSec adalah berdasarkan kepada standard yang dibangunkan oleh
Internet Engineering Task Force kumpulan kerja (IETF) IPSec.
Memperkenalkan IPSec
Memperkenalkan IPSec
IPSec adalah arah jangka panjang untuk rangkaian yang selamat. Ia menyediakan garis
utama pertahanan terhadap rangkaian dan Internet serangan peribadi, mengimbangi
kemudahan penggunaan dengan keselamatan.
IPSec mempunyai dua matlamat:
Kedua-dua gol dipenuhi melalui penggunaan perkhidmatan berasaskan kriptografiperlindungan, protokol keselamatan, dan pengurusan utama dinamik. Asas ini menyediakan
kedua-dua kekuatan dan fleksibiliti untuk melindungi komunikasi antara komputer peribadi
rangkaian, domain, laman web, laman web yang jauh, extranets, dan pelanggan dial-up. Ia
juga boleh digunakan untuk menghalang penerimaan atau penghantaran jenis trafik
tertentu.
IPSec adalah berdasarkan kepada model keselamatan akhir-ke-akhir, yang bererti bahawa
satu-satunya komputer yang mesti tahu tentang trafik itu dicagarkan adalah seperti
menghantar dan menerima komputer. Setiap mengendalikan keselamatan di akhir masingmasing, dengan andaian bahawa medium di mana komunikasi berlaku tidak selamat.Mana-
mana komputer yang hanya data perjalanan dari sumber ke destinasi yang tidak
dikehendaki untuk menyokong IPSec. Model ini membolehkan IPSec yang berjaya digunakan
untuk senario perniagaan anda yang sedia ada:
rangkaian Wide kawasan (WAN): router ke router, pintu masuk ke pintu masuk.
Windows 2000 pelaksanaan IPSec adalah berdasarkan piawaian industri kini dalam
pembangunan oleh Internet Engineering Task Force kumpulan kerja (IETF) IPSec. IPSec dan
perkhidmatannya yang berkaitan dalam Windows 2000 telah dibangunkan bersama oleh
Microsoft dan Cisco Systems, Inc.
perkhidmatan
perkhidmatan
IPSec menyediakan tahap keselamatan yang tinggi dengan menggunakan mekanisme
berasaskan kriptografi.Kriptografi membolehkan maklumat dihantar dengan selamat oleh
hashing (integriti) dan menyulitkan (kerahsiaan) maklumat.
Gabungan algoritma dan kunci yang digunakan untuk mendapatkan maklumat:
Algoritma ini adalah proses matematik yang mana maklumat yang diperolehi.
Utama adalah kod rahsia atau nombor dikehendaki membaca, mengubah suai, atau
mengesahkan data terjamin.
Properties Keselamatan
IPSec menyediakan ciri-ciri berikut untuk komunikasi terjamin:
Tidak Boleh Disangkal Mengesahkan bahawa dengan penghantar mesej ini hanya orang
yang boleh rasul itu.Pengirim tidak boleh menafikan ada menghantar mesej. Bukan
penolakan adalah sebuah hartanah mesej yang mengandungi tandatangan digital apabila
menggunakan teknologi utama awam. Dengan teknologi kunci awam, kunci persendirian
penghantar digunakan untuk membuat tandatangan digital yang dihantar dengan
mesej. Penerima menggunakan kunci awam penghantar untuk mengesahkan tandatangan
digital. Kerana hanya pengirim mempunyai milikan ke atas kunci persendirian, hanya
penghantar boleh dijana tandatangan digital. Bukan penolakan bukan harta mesej kod
pengesahan dan hash pada mesej menggunakan teknologi kunci rahsia, kerana kedua-dua
penghantar dan penerima mempunyai kunci rahsia.
Anti-Replay Juga dipanggil pencegahan ulangan, ia memastikan keunikan setiap paket
IP. Anti-ulangan memastikan data yang dirakam oleh penyerang tidak boleh digunakan
semula atau "semula bermain" untuk mewujudkan sesi atau mendapatkan maklumat secara
haram. Ini melindungi daripada percubaan untuk memintas mesej dan kemudian
menggunakan mesej yang sama secara haram mendapatkan akses kepada sumber,
mungkin juga bulan kemudian.
Integriti Melindungi data dari pengubahsuaian yang tidak dibenarkan dalam transit,
memastikan data yang diterima adalah betul-betul sama dengan data yang dihantar. Fungsi
Hash menandatangani setiap paket dengan checksum kriptografi menggunakan satu kunci
berkongsi, yang cek komputer menerima sebelum membuka paket. Hanya penghantar dan
penerima mempunyai kunci yang digunakan untuk mengira checksum. Jika paket dan oleh
itu tandatangan telah berubah, paket dibuang.
Kerahsiaan (Encryption) Memastikan data hanya didedahkan kepada penerima yang
dihasratkan. Ini dicapai dengan menyulitkan data sebelum penghantaran. Ini memastikan
bahawa data tidak boleh dibaca semasa penghantaran, walaupun paket dipantau atau
dipintas. Hanya parti dengan kongsi, kunci rahsia dapat membaca data (selepas
penyahsulitan). Hartanah ini adalah pilihan dan bergantung kepada tetapan dasar IPSec.
Pengesahan Mengesahkan asal-usul mesej melalui proses satu pihak menghantar tauliah
dan penerima mengesahkan kesahihan bukti kelayakan. Windows 2000 IPSec menyediakan
pelbagai kaedah pengesahan, untuk memastikan keserasian dengan sistem legasi, sistem
bukan berasaskan Windows, dan komputer jauh. Untuk maklumat lanjut mengenai
pengesahan, lihat bab di bawah "Keselamatan Diedarkan"
dalam Microsoft Windows 2000 Kit Sumber Server Sistem Teragih Guide.
IPSec Komponen
IPSec Komponen
Bahagian-bahagian berikut menghuraikan komponen IPSec yang dipasang dengan Windows
2000.
Model IPSec
Sekarang fungsi setiap komponen telah dijelaskan secara berasingan, serta gambaran yang
menyeluruh adalah perlu untuk melengkapkan pemahaman seni bina, seperti yang
ditunjukkan dalam Rajah 8.8.
Retrieval polisi berlaku di kedua-dua sistem masa mula, pada masa yang ditetapkan dalam
polisi IPSec (jika komputer bersatu dengan domain a), dan pada selang lalai Winlogon
pengundian (jika seorang bergabung dengan domain a):
Jika maklumat dasar IPSec terletak di pusat dikonfigurasikan untuk komputer yang
merupakan ahli domain, maklumat dasar IPSec disimpan dalam Direktori Aktif dan
cache dalam pendaftaran tempatan komputer yang ia terpakai.
Jika komputer sementara tidak dihubungkan dengan domain dan dasar cache,
apabila komputer semula ke domain itu apa-apa maklumat dasar baru untuk
komputer yang mengatasi, maklumat dasar cache lama.
Jika komputer adalah komputer berdiri sendiri, atau adalah ahli domain yang tidak
menggunakan Active Directory untuk penyimpanan polisi, polisi IPSec disimpan di
pejabat pendaftaran tempatan.
Ejen dasar bermula secara automatik pada masa sistem permulaan. Jika tidak ada dasar
IPSec perkhidmatan direktori atau pendaftaran, atau jika ejen polisi ini tidak boleh
menyambung kepada perkhidmatan direktori, ejen dasar ini yang menunggunya dasar untuk
diberikan atau diaktifkan.
IPSec pemandu
Pemandu IPSec, menggunakan Senarai Penapis IP dari dasar IPSec aktif, jam tangan untuk
paket IP keluar yang perlu dilindungi dan paket IP inbound yang perlu disahkan dan dibuka.
Seperti yang ditunjukkan dalam Rajah 8.7, pemandu IPSec menerima senarai penapis IP dari
ejen dasar IPSec. Pemandu IPSec jam tangan semua paket IP keluar pada komputer untuk
perlawanan dengan senarai penapis IP yang disimpan.paket Outbound memulakan
rundingan untuk keselamatan apabila perlawanan yang berlaku. Pemandu IPSec
memberitahu IKE untuk memulakan rundingan keselamatan.
Perlindungan Key
Nombor-nombor asas utama (bahan menaip) dan kekuatan kekunci untuk tuan dan sesi
kekunci dipertingkatkan dengan ciri-ciri berikut. Ciri-ciri yang dibincangkan di sini memohon
kepada satu atau kedua-dua kekunci, seperti yang dinyatakan.
hayat Key
hayat utama menentukan bila kunci baru dihasilkan, bukannya bagaimana ia
dihasilkan. Juga dipanggil dinamik semula menaip atau pertumbuhan semula utama, seumur
hidup utama membolehkan anda untuk memaksa pertumbuhan semula utama selepas
selang tertentu. Sebagai contoh, jika komunikasi mengambil 10.000 saat dan anda tentukan
hayat utama 1,000 saat, 10 kunci dihasilkan untuk melengkapkan pemindahan. Ini
memastikan bahawa walaupun penyerang mendapat sebahagian daripada suatu ayat,
mereka tidak mampu untuk mendapatkan keseluruhan komunikasi. pertumbuhan semula
kekunci automatik disediakan; konfigurasi adalah pilihan. hayat Key boleh dinyatakan untuk
kedua-dua tuan dan sesi kunci. Bila-bila masa seumur hidup utama dicapai, SA juga
dirundingkan semula sebagai tambahan kepada refresh kunci atau pertumbuhan
semula. Jumlah data yang diproses oleh kunci tunggal tidak boleh melebihi 100
megabait. Pentadbir perlu menyemak garis panduan keselamatan dan penyulitan semasa
untuk pastikan untuk menyediakan perlindungan yang mencukupi untuk jenis data yang
disampaikan.
Top Of Page
utama sama mungkin digunakan semula kerana yang SA baru-baru ini ditubuhkan dengan
komputer itu. Jika anda mahu mengehadkan bilangan kali ini berlaku, menetapkan sesi had
refresh utama untuk nombor yang rendah.
Jika anda telah membolehkan Perfect Forward Kerahsiaan (PFS) untuk kekunci utama, had
refresh kunci sesi diabaikan kerana kuasa-kuasa PFS pertumbuhan semula
utama. Menetapkan had refresh kunci sesi 1 adalah sama dengan membolehkan induk
utama PFS. Jika kedua-dua jangka hayat kekunci utama dan had refresh kunci sesi
dinyatakan, yang mana had terkena pertama menyebabkan berikutnya semula kunci
itu. Secara lalai, dasar IPSec tidak menyatakan had refresh kunci sesi.
Top Of Page
Diffie-Hellman Kumpulan
Diffie-Hellman (DH) groupsare digunakan untuk menentukan panjang nombor perdana asas
(bahan utama) untuk pertukaran DH. Kekuatan sebarang kekunci berasal dari pertukaran DH
bergantung sebahagiannya kepada kekuatan kumpulan DH di mana nombor perdana adalah
berdasarkan.
Setiap kumpulan DH mentakrifkan panjang bahan utama yang akan digunakan. Kumpulan 2
(sederhana) adalah lebih kuat daripada Kumpulan 1 (rendah). Kumpulan 1 melindungi 768
bit menaip material; Kumpulan 2 melindungi 1024 bit.Sekumpulan besar ertinya DH terhasil
mempunyai lebih entropi dan, oleh itu, adalah lebih sukar untuk memecahkan.
IKE menjaga rundingan kumpulan mana untuk digunakan, memastikan bahawa tidak ada
apa-apa kegagalan rundingan akibat sekumpulan DH berpadanan antara kedua-dua rakanrakan.
Jika PFS bagi sesi didayakan, DH itu diluluskan di SA dengan maklumat utama sepanjang
mesej pertama rundingan Fasa II SA. Ini memaksa atur DH baru yang membuang sesi
menaip bahan daripada pertukaran DH awal.
Jika penghantar menggunakan PFS untuk kunci sesi, responder yang tidak diperlukan untuk
menggunakannya juga.Walau bagaimanapun, jika pemula tidak menggunakan PFS untuk
sesi dan responder yang menggunakan PFS, rundingan gagal.
Kumpulan DH adalah sama untuk kedua-dua rundingan Fasa I dan Fasa II SA. Ini bermakna
bahawa apabila sesi utama PFS didayakan, walaupun kumpulan DH ditetapkan sebagai
sebahagian daripada rundingan Fasa I SA, ia memberi kesan kepada mana-mana kekunci
semula semasa sesi penubuhan utama.
Top Of Page
Proses ini bukan sahaja melindungi komputer untuk komunikasi komputer, tetapi juga
melindungi komputer jauh yang meminta akses selamat kepada rangkaian korporat; atau
apa-apa keadaan di mana rundingan komputer destinasi akhir (titik akhir) sebenarnya
dilakukan oleh router keselamatan atau pelayan proksi lain.
Fasa I SA
Untuk memastikan kejayaan komunikasi, selamat IKE melakukan operasi dua
fasa. Kerahsiaan dan pengesahan pada setiap fasa dipastikan oleh penggunaan penyulitan
dan pengesahan algoritma dipersetujui oleh kedua-dua komputer semasa rundingan
keselamatan. Dengan tugas berpecah antara dua fasa, menaip boleh dicapai dengan
kelajuan yang tinggi.
Dalam fasa pertama, kedua-dua komputer menubuhkan selamat disahkan saluran-Fasa I SA
a. Ia dinamakan sedemikian bagi membezakan antara SAS ditubuhkan pada setiap dua
fasa. IKE secara automatik akan memberi perlindungan identiti yang diperlukan semasa
pertukaran ini. Ini memastikan tiada maklumat identiti dihantar tanpa penyulitan antara
komputer berkomunikasi, dengan itu membolehkan jumlah privasi.
Top Of Page
Fasa I Rundingan
Berikut adalah langkah-langkah dalam rundingan Fasa I.
1. Polisi Rundingan
Berikut empat parameter wajib dirundingkan sebagai sebahagian daripada Fasa I SA:
o
Jika sijil atau kekunci pra-kongsi digunakan untuk pengesahan, pengenalan komputer
dilindungi. Walau bagaimanapun, jika pengesahan Kerberos v5 digunakan,
pengenalan komputer adalah tak disulitkan sehingga penyulitan seluruh muatan
identiti berlaku semasa pengesahan.
2. DH Exchange (nilai-nilai umum)
Pada masa yang singkat adalah kunci sebenar ditukar; hanya maklumat asas yang
diperlukan oleh DH untuk menjana kongsi, kunci rahsia ditukar. Selepas pertukaran
ini, perkhidmatan IKE pada setiap komputer menjana kunci utama yang digunakan
untuk melindungi akhir pusingan: pengesahan.
3. pengesahan
Komputer cuba untuk mengesahkan pertukaran DH. Tanpa pengesahan berjaya,
komunikasi tidak boleh diteruskan. Kunci induk digunakan, sempena algoritma
rundingan dan kaedah, untuk mengesahkan identiti.Seluruh identiti muatantermasuk jenis identiti, pelabuhan, dan protokol yang dicincang dan disulitkan
menggunakan kekunci dijana daripada pertukaran DH di pusingan kedua. Muatan
pengenalan, tidak kira di mana kaedah pengesahan yang digunakan, dilindungi dari
kedua-dua pengubahsuaian dan tafsiran.
Pengguna ini membentangkan tawaran untuk persatuan keselamatan berpotensi kepada
penerima. responder yang tidak boleh mengubah tawaran itu. Sekiranya tawaran itu diubah
suai, pemula yang menolak mesej responder ini.responder menghantar sama ada balasan
menerima tawaran atau jawapan dengan alternatif.
Mesej-mesej semasa fasa ini mempunyai kitaran cuba semula automatik yang mengulangi
lima kali. Selepas selang ringkas, kembali untuk membersihkan ditubuhkan (jika dasar IPSec
membolehkan). Sekiranya tindak balas yang diterima sebelum masa cycle out, standard SA
rundingan bermula.
Tiada had untuk bilangan pertukaran yang boleh berlaku. Pada masa yang diberikan,
bilangan SAS dibentuk hanya dihadkan oleh sumber-sumber sistem.
Top Of Page
Fasa II SA
Dalam fasa ini, SAS dirundingkan bagi pihak perkhidmatan IPSec itu.
Top Of Page
Fasa II Rundingan
Berikut adalah langkah-langkah dalam Fasa II rundingan.
1. Polisi rundingan
Komputer IPSec bertukar-tukar keperluan mereka untuk mendapatkan pemindahan
data:
o
The hash algoritma untuk integriti dan pengesahan (MD5 atau SHA)
Perjanjian bersama dicapai, dan dua SAS diwujudkan: satu untuk masuk dan satu
untuk komunikasi keluar.
2. Sesi utama refresh bahan atau pertukaran
IKE menyegarkan bahan menaip dan baru, bersama, atau kunci rahsia yang dijana
untuk pengesahan, dan penyulitan (jika dirundingkan), paket. Jika kunci semula
diperlukan, bursa DH kedua (seperti yang dinyatakan dalam "Fasa I Rundingan")
berlaku sebelum ini, atau segar semula DH asal digunakan untuk kunci semula.
3. SAS dan kekunci diserahkan kepada pemandu IPSec, bersama-sama dengan SPI.
Semasa rundingan ini kedua dasar kongsi dan memasukkan bahan-ini masa untuk
melindungi pemindahan-data maklumat dilindungi oleh Fasa I SA.
Sebagai fasa menyediakan perlindungan identiti yang pertama, fasa kedua memberikan
perlindungan oleh menyegarkan bahan menaip untuk mengelakkan palsu SAS. IKE boleh
menampung muatan pertukaran utama bagi pertukaran DH tambahan, perlu kunci semula
perlu (master kunci PFS diaktifkan). Jika tidak, IKE menyegarkan bahan menaip dari
pertukaran DH dalam fasa pertama.
Fasa II keputusan dalam sepasang persatuan keselamatan: satu SA untuk komunikasi masuk
dan satu SA untuk keluar;masing-masing dengan SPI sendiri dan utama.
The cuba semula algoritma untuk pesanan di sini adalah hampir sama dengan proses yang
dibincangkan dalam "Fasa I Rundingan," dengan hanya satu perbezaan: Jika proses ini
mencapai masa keluar untuk apa-apa sebab semasa rundingan kedua atau yang lebih besar
di luar yang sama Fasa I SA, rundingan semula daripada Fasa I SA dihasratkan.Jika mesej
untuk fasa ini pernah menerima tanpa Fasa I SA ditubuhkan, ia ditolak.
Menggunakan satu Fasa I SA untuk pelbagai Fasa II rundingan SA menjadikan proses yang
sangat cepat. Selagi Fasa I SA tidak luput, berunding semula dan pengesahan semula tidak
perlu. Bilangan Fasa II rundingan SA yang boleh dilakukan adalah ditentukan oleh sifat-sifat
dasar IPSec. Perhatikan bahawa menaip semula off Fasa berlebihan yang sama saya SA
boleh menjejaskan kongsi, kunci rahsia.
Top Of Page
SA hayat
Fasa I SA cache untuk membolehkan beberapa Fasa II rundingan SA (kecuali PFS didayakan
untuk kekunci utama, atau sesi hayat dasar utama telah dicapai). Apabila jangka hayat
utama dicapai untuk kunci induk atau sesi tersebut, SA dirundingkan semula, sebagai
tambahan kepada refresh kunci atau pertumbuhan semula.
Apabila tempoh masa-tamat lalai dicapai bagi Fasa I SA, atau nakhoda atau sesi utama
seumur hidup dicapai, mesej padam dihantar kepada responder. The IKE memadam mesej
memberitahu responder untuk tamat Fasa I SA. Ini menghalang Fasa palsu II SAS daripada
terbentuk kerana Fasa II SAS adalah sah sehingga hidup mereka tamat tempoh oleh
pemandu IPSec, secara bebas dari hayat Fasa I SA. IKE tidak luput Fasa II SA, kerana hanya
pemandu IPSec tahu bilangan saat atau bait yang telah berlalu untuk mencapai hayat
utama.
Berhati-hati apabila menetapkan hayat utama yang sangat berbeza, yang juga menentukan
hayat SA. Sebagai contoh, menetapkan jangka hayat kunci induk lapan jam dan sesi seumur
hidup utama dua jam boleh bermakna bahawa anda mempunyai Fasa II SA di tempat selama
hampir dua jam selepas Fasa I SA tamat. Ini boleh berlaku jika Fasa II SA dihasilkan sebaik
sebelum Fasa I SA tamat.
terowong
terowong
Terowong juga dirujuk sebagai pengkapsulan kerana paket asal yang tersembunyi atau
terkandung dalam sebuah paket baru. terowong adalah laluan data yang logik di mana
paket terkandung perjalanan ke destinasi mereka. Untuk maklumat lanjut mengenai konsep
terowong atau integrasi L2TP dengan IPSec, lihat "Maya Rangkaian persendirian"
dalam Windows 2000 Internetworking Guide. Seksyen yang berikut berkaitan dengan IPSec
terowong sahaja.
AH Mod Terowong
Satu-satunya perbezaan antara mod terowong AH dan mod ESP terowong adalah bagaimana
paket dikendalikan.Seperti yang ditunjukkan dalam Rajah 8.11, AH menandatangani
keseluruhan paket untuk integriti, termasuk Tunnel Header baru (ESP tidak menandatangani
header terowong), dan penyulitan tidak diberikan oleh AH.
Seluruh ESP muatan kemudiannya dimuatkan ke dalam header terowong baru, yang tidak
disulitkan. Maklumat dalam header terowong baru hanya digunakan untuk laluan paket dari
asal ke destinasi.
Jika paket sedang dihantar di seluruh rangkaian awam, paket dihalakan alamat IP pelayan
terowong untuk intranet yang menerima. Paket sendiri kemungkinan besar ditakdirkan untuk
komputer intranet. Pelayan terowong decrypts paket, melemparkan jauh header ESP, dan
menggunakan header IP asal to paket ke komputer intranet.
Tindakan penapis
Polisi lulus-melalui: satu yang tidak membenarkan komunikasi yang selamat. IPSec
hanya mengabaikan trafik dalam kes ini. Ini adalah sesuai untuk lalu lintas yang tidak
boleh dijamin kerana komputer jauh tidak IPSec yang dibolehkan, lalu lintas yang
tidak cukup sensitif untuk menghendaki perlindungan, atau lalu lintas yang
memberikan keselamatan sendiri (contohnya, Kerberos, SSL, protokol PPTP).
peraturan
Peraturan mentadbir bagaimana dan bila dasar IPSec melindungi komunikasi. peraturan A
menyediakan keupayaan untuk mencetuskan dan mengawal komunikasi yang selamat
berdasarkan sumber, destinasi, dan jenis trafik IP.
Setiap peraturan mengandungi senarai penapis IP dan koleksi tindakan keselamatan yang
berlaku pada perlawanan dengan bahawa senarai penapis:
Tindakan penapis
kaedah pengesahan
tetapan terowong IP
jenis sambungan
Setiap dasar boleh mengandungi satu atau beberapa kaedah-kaedah; satu atau semua yang
boleh aktif pada masa yang sama. Sebagai contoh, anda mungkin mahu mempunyai satu
polisi untuk router laman web, tetapi anda memerlukan tindakan keselamatan yang
berlainan bagi intranet dan Internet komunikasi. Satu dasar boleh digunakan untuk router
IP Packet Filtering
Alamat IP mengenal pasti lokasi yang sistem komputer pada rangkaian. Setiap alamat IP
dipisahkan secara dalaman kepada dua bahagian, satu ID rangkaian dan ID komputer:
ID rangkaian mengenal pasti satu rangkaian dalam rangkaian TCP / IP yang lebih
besar (iaitu, rangkaian rangkaian). ID ini juga digunakan untuk mengenal pasti setiap
rangkaian unik dalam rangkaian yang lebih besar.
ID komputer untuk setiap peranti (seperti stesen kerja atau router) mengenal pasti
sistem dalam rangkaian sendiri.
komputer Multihomed mempunyai berbilang alamat IP: satu untuk setiap penyesuai
rangkaian.
Penapis
peraturan A menyediakan keupayaan untuk mencetuskan rundingan keselamatan untuk
komunikasi berdasarkan sumber, destinasi, dan jenis trafik IP, proses yang dipanggil
penapisan paket IP. Ini menyediakan satu cara untuk pentadbir rangkaian untuk menentukan
dengan tepat apa pencetus trafik IP akan dilindungi, disekat, atau melalui (tidak bercagar).
Setiap Senarai IP Filter mengandungi senarai penapis. Setiap penapis dalam masa Senarai IP
Filter menerangkan subset tertentu trafik rangkaian yang akan diraih, sama ada untuk trafik
masuk dan keluar:
Anda mesti mempunyai penapis untuk menampung trafik yang mana peraturan yang
berkaitan terpakai. Sebagai contoh, jika komputer A sentiasa mahu untuk bertukar-tukar
data dengan selamat dengan Komputer B:
Untuk menghantar data bercagar untuk komputer B, dasar Komputer A IPSec mesti
mempunyai penapis untuk mana-mana paket outbound akan Computer B.
Untuk menerima data selamat dari komputer A, dasar IPSec Komputer B mesti
mempunyai penapis untuk mana-mana paket masuk dari komputer A.
Sumber dan destinasi alamat paket IP. Ini boleh dikonfigurasikan dari tahap yang
sangat berbutir, seperti alamat IP, ke tahap global yang merangkumi seluruh subnet,
atau rangkaian.
Sumber dan destinasi pelabuhan protokol untuk TCP dan UDP. Ini juga mungkir untuk
menutup semua pelabuhan, tetapi boleh dikonfigurasikan untuk memohon kepada
paket hanya dihantar atau diterima pada port protokol tertentu.
Jenis sambungan
Sambungan merujuk kepada apa-apa yang anda buat dalam anda Windows 2000
konsol Sambungan Rangkaian pada komputer.
Menetapkan jenis sambungan bagi setiap peraturan membolehkan anda untuk menentukan
apa yang komputer sambungan (muka) yang terlibat dengan polisi dail-up penyesuai IPSec
atau kad rangkaian. Setiap peraturan mempunyai sifat sambungan yang menentukan sama
ada peraturan itu terpakai kepada beberapa sambungan atau hanya satu
sambungan. Sebagai contoh, anda mungkin mahu peraturan yang memerlukan keselamatan
yang sangat tinggi untuk hanya terpakai untuk dial-up sambungan, bukan untuk rangkaian
kawasan tempatan (LAN) sambungan.
Polisi Pusaka
Dasar keutamaan mengikuti model Dasar Kumpulan. polisi kumpulan digunakan secara
hierarki dari ketat objek (lokasi) sekurang-kurangnya untuk objek yang paling ketat
(OU). Untuk maklumat lebih lanjut mengenai Active Directory dan Dasar Kumpulan, lihat bab
di bawah "Active Directory" dan "Desktop Configuration Management" bahagian
dalamWindows 2000 Diedarkan Systems Guide.
Perkara yang perlu diingat apabila memberikan dasar IPSec:
dasar IPSec diberikan kepada dasar domain mengatasi mana-mana dasar IPSec
tempatan apabila akaun komputer adalah ahli domain.
pengesahan
Satu peraturan boleh menentukan kaedah pengesahan berganda untuk memastikan kaedah
biasa ditemui apabila berunding dengan rakan sebaya.
IPSec menyokong semua kaedah pengesahan berikut:
Gunakan Sijil digital dalam situasi yang termasuk akses Internet, akses jauh untuk
sumber-sumber korporat, komunikasi rakan kongsi perniagaan luar, apa-apa
komunikasi berasaskan L2TP-, atau komputer yang tidak berjalan Kerberos v5
protokol pengesahan. Ini memerlukan sekurang-kurangnya satu dipercayai Berkuasa
Sijil (CA) telah dikonfigurasikan. Untuk maklumat mengenai Windows 2000
infrastruktur kunci awam dan sijil, lihatSystems Panduan Windows 2000 Diedarkan.
Windows 2000 IKE mempunyai keserasian asas dengan beberapa sistem sijil,
termasuk yang ditawarkan oleh Microsoft, Entrust, VeriSign, dan Netscape. IKE
menggunakan kriptografi versi API 2.0 (CAPIv2) fungsi Windows 2000 untuk sijil
pemprosesan. IKE tidak memerlukan sesuatu jenis sijil, hanya bahawa ia
bermastautin di akaun komputer, mempunyai tandatangan yang sah, rantaian
amanah yang sah, dan digunakan dalam tempoh sah.
Sijil-sijil yang diperolehi daripada Perkhidmatan Sijil Microsoft dengan set pilihan maju
untuk perlindungan utama swasta yang kukuh tidak akan berfungsi untuk
pengesahan IKE. Anda mesti memilih pihak berkuasa sijil yang mengeluarkan
komputer anda perakuan, atau pihak berkuasa sijil root pengeluaran yang (CA).
Penyelarasan dengan pentadbir komputer jauh diperlukan untuk bersetuju mengenai
konfigurasi sijil. Jika tidak, IKE rundingan mungkin gagal. Untuk maklumat terperinci
mengenai sijil, konfigurasi CA, dan sijil pembatalan lihat bab di bawah "Keselamatan
Diedarkan" dalam Systems Panduan Diedarkan.
Kunci pra-kongsi boleh dinyatakan. Ini adalah bersama, kunci rahsia yang sebelum ini
dipersetujui oleh dua pengguna. Ia cepat untuk digunakan dan tidak memerlukan
pelanggan untuk menjalankan protokol v5 Kerberos atau mempunyai Sijil
digital. Kedua-dua pihak mesti mengkonfigurasi secara manual dasar IPSec mereka
menggunakan kekunci pra-kongsi ini. Ini boleh digunakan atas dasar terhad apabila
Kerberos- atau pengesahan berasaskan sijil tidak boleh didapati. Ambil perhatian
bahawa kunci ini adalah untuk perlindungan pengesahan sahaja; ia tidak digunakan
untuk menyulitkan data. Lihat bahagian bertajuk "Amalan Terbaik" dalam bab ini.
Microsoft tidak mengesyorkan penggunaan kerap pengesahan kunci pra-dikongsi,
kerana kunci pengesahan yang disimpan, yang tidak dilindungi, dalam dasar IPSec
itu. Pra-kongsi metodologi utama disediakan hanya untuk tujuan operasi dan untuk
mematuhi standard IPSec ditetapkan oleh IETF. Untuk menggunakan kaedah
pengesahan ini dengan selamat, dasar perlu terhad kepada pentadbir sahaja
membaca dan menulis akses, disulitkan untuk privasi apabila disampaikan antara
pengawal domain dan ahli domain komputer, dan terhad kepada sistem sahaja akses
baca pada setiap komputer.
Menggunakan Kerberos atau pengesahan berasaskan sijil adalah disyorkan, untuk
mengelakkan risiko keselamatan yang berkaitan dengan pra-kongsi pengesahan
kunci.
Perancangan IPSec
Perancangan IPSec
Seksyen yang berikut boleh digunakan sebagai garis panduan umum atau contoh apabila
merancang penempatan IPSec anda.
Menilai risiko dan menentukan tahap keselamatan yang sesuai untuk organisasi
anda.
Menentukan bagaimana polisi terbaik dilaksanakan dalam organisasi yang sedia ada.
Menyediakan semua pengguna dengan kedua-dua akses selamat dan cekap kepada
sumber-sumber yang sesuai, mengikut keperluan mereka.
pertimbangan keselamatan juga dipengaruhi oleh konteks operasi komputer untuk yang ia
terpakai. Sebagai contoh, keselamatan yang diperlukan mungkin berbeza bergantung pada
sama ada komputer adalah pengawal domain, pelayan web, pelayan capaian jauh, pelayan
fail, pelayan pangkalan data, intranet atau pelanggan jauh.
Rangka kerja keselamatan Windows 2000 direka untuk memenuhi keperluan keselamatan
yang paling ketat. Walau bagaimanapun, perisian sahaja adalah kurang berkesan tanpa
perancangan yang teliti dan penilaian, garis panduan keselamatan yang berkesan,
penguatkuasaan, pengauditan, dan masuk akal pembentukan dasar keselamatan dan
tugasan.
Tidak ada definisi yang tepat daripada langkah-langkah yang menentukan keselamatan
standard. Ini boleh berbeza-beza secara meluas, bergantung kepada dasar dan infrastruktur
organisasi. Tahap keselamatan berikut boleh dianggap sebagai asas umum untuk
merancang penempatan IPSec anda.
Keselamatan Minimal
Komputer tidak bertukar-tukar data sensitif. IPSec tidak aktif secara lalai. Tiada tindakan
pentadbiran untuk melumpuhkan IPSec diperlukan.
Amalan terbaik
Windows 2000 Keselamatan IP Dasar Pengurusan snap-dalam dapat memudahkan
pergerakan. Untuk mengambil kesempatan ini dan untuk mengelakkan pelaksanaan
bermasalah, anda perlu:
Menilai jenis maklumat yang dihantar melalui rangkaian anda: adakah data sensitif
kewangan, maklumat proprietari, atau mel elektronik? Beberapa jabatan mungkin
Menilai kelemahan anda untuk serangan rangkaian yang dibincangkan pada awal bab
ini.
Tahap keselamatan perlu bagi setiap senario. Sebagai contoh, anda boleh
memutuskan hanya komunikasi Internet memerlukan kerahsiaan.
Reka bentuk, membuat, dan menguji dasar IPSec untuk setiap senario dalam pelan
anda. Ini membolehkan anda untuk menjelaskan dan menghalusi dasar-dasar dan
struktur dasar yang perlu.
Penapis. Mereka boleh didapati untuk pengaktifan dalam mana-mana peraturan baru atau
yang sedia ada:
memerlukan Security
keselamatan yang tinggi. komunikasi tidak bercagar adalah tidak dibenarkan kecuali
permintaan perhubungan yang diterima awal.
IP Senarai Penapis
Beberapa cadangan untuk Senarai IP Filter:
Cuba untuk menggunakan penapis umum jika anda mahu untuk menutup
sekumpulan komputer dengan hanya satu penapis. Sebagai contoh, dalam penapis
kotak dialog, gunakan Sebarang Alamat IP atau alamat subnet IP dan bukan
dengan menyatakan alamat IP sumber dan destinasi komputer tertentu ini.
Menentukan penapis yang membolehkan anda untuk kumpulan dan lalu lintas
selamat daripada segmen dikaitkan secara logik rangkaian anda.
Susunan yang penapis terpakai tidak berkaitan dengan pesanan yang dipaparkan
apabila melihat dasar IPSec itu. Semua penapis pada masa yang sama diambil oleh
IPSec Dasar Agent semasa permulaan sistem dan diproses dan disusun dari yang
paling khusus untuk-kurangnya tertentu. Tidak ada jaminan bahawa penapis khusus
akan digunakan sebelum penapis umum sehingga semua penapis telah diproses, dan
yang boleh menjejaskan beberapa tingkah laku komunikasi sewaktu permulaan
sistem.
Top Of Page
Tindakan penapis
Beberapa cadangan Tindakan Filter:
atau apabila rakan-rakan tidak IPSec yang dibolehkan, gunakan Tindakan penapis
seperti menyekat atau polisi lulus-melalui.
Top Of Page
Senarai kaedah pengesahan mesti termasuk sijil, dan sijil kunci awam sekurangkurangnya satu komputer peringkat mesti dikonfigurasi pada setiap rakan sebaya
(pelanggan jauh atau pelayan akses jauh). Windows 2000 pengawal domain boleh
dikonfigurasikan untuk ahli domain automatik mendaftar dalam pihak berkuasa sijil.
Jika anda memerlukan kemampuan untuk jarak jauh mentadbir komputer di syarikat
anda, anda mesti menambah peraturan dasar IPSec aktif anda untuk mengelakkan
trafik TCP RPC daripada disekat apabila ia datang dari rangkaian dalaman. (Ini jenis
trafik digunakan oleh alat konfigurasi akses jauh dalam Windows 2000). Sebagai
contoh:
o
Top Of Page
SNMP
Jika komputer yang menjalankan perkhidmatan SNMP, anda mesti menambah satu
peraturan untuk mengelakkan mesej SNMP daripada disekat:
Senarai Penapis IP harus menentukan sumber dan destinasi alamat sistem dan ejen
pengurusan SNMP. Jenis Protokol harus ditetapkan kepada UDP, ke dan dari
pelabuhan 161 dan 162. Ini memerlukan dua penapis: satu untuk UDP, ke dan dari
pelabuhan 161, dan satu lagi untuk UDP, ke dan dari pelabuhan 162.
Set Tindakan Penapis untuk Permit, yang menghalang rundingan untuk keselamatan
dan melalui sebarang trafik yang sepadan dengan Senarai IP Filter.
Top Of Page
Gerbang Keselamatan
Untuk pintu masuk keselamatan, firewall, pelayan proksi, router atau mana-mana pelayan
yang merupakan pusat akses daripada intranet kepada dunia luar, penapisan khas mesti
diaktifkan pada komputer itu untuk memastikan bahawa paket dijamin dengan IPSec tidak
ditolak. Sekurang-kurangnya, input dan output penapis berikut mesti ditakrifkan untuk
antara muka Internet pada komputer:
Top Of Page
Penapis Input
Top Of Page
Penapis output
Top Of Page
Pelayan yang menyimpan dan pertukaran maklumat yang sangat sensitif milik
Tertinggi Keselamatan pelayan OU.
Mengumpulkan komputer ke dalam ous membolehkan tugasan dasar IPSec hanya kepada
mereka yang memerlukan IPSec. Ia juga membolehkan tahap keselamatan yang sesuai yang
akan diberikan, mengelakkan overhed keselamatan yang berlebihan. Dalam senario ini,
Direktori Aktif menyimpan dasar IPSec untuk semua komputer.
keselamatan yang tinggi antara pelanggan dan pengawal domain adalah tidak perlu:
pertukaran Kerberos berkaitan antara pelanggan dan pengawal domain sudah disulitkan,
dan penghantaran dasar IPSec daripada Direktori Aktif kepada komputer ahli dilindungi oleh
Windows 2000 keselamatan LDAP.
Dalam contoh ini, IPSec perlu digabungkan dengan kawalan akses. kebenaran pengguna
masih sebahagian yang perlu menggunakan keselamatan untuk melindungi akses kepada
saham fail ada di mana-mana Keselamatan Tertinggi atau Pelayan Selamat. IPSec menjamin
lalu lintas peringkat rangkaian, supaya penyerang tidak boleh menterjemah atau mengubah
suai data. Untuk maklumat mengenai menetapkan kebenaran pengguna, lihat 2000 Bantuan
Windows.
Penyelesaian masalah
Penyelesaian masalah
Bahagian ini mengandungi kaedah untuk menentukan punca masalah komunikasi IPSec
bercagar, dan alat-alat yang boleh mengesahkan komunikasi IPSec bercagar.
Nota
Kegagalan dalam perkhidmatan rangkaian teras, seperti DHCP, DNS, dan WINS, boleh
menyebabkan kegagalan IPSec tidak menentu.
Top Of Page
Untuk maklumat umum mengenai Protokol Internet (IP), lihat "Pengenalan kepada
TCP / IP" di dalam buku ini ..
Untuk maklumat lanjut mengenai konsep VPN, lihat "Maya Rangkaian persendirian"
dalam Windows 2000 Internetworking Guide.