Las principales características de IPSec son:
- Autenticación, protege la red privada y los datos privados que contiene. IPSec protege los datos privados por el hombre en el medio los ataques, de atacantes que intentan acceder a la red, y de un atacante cambiar el contenido de los paquetes de datos.
- Cifrado; oculta el contenido real de los paquetes de datos a fin de que no puede interpretarse por partes no autorizadas.
IPSec se puede utilizar para proporcionar capacidades de filtrado de paquetes. También puede autenticar el tráfico entre dos hosts y encriptar el tráfico entre los hosts pasado. IPSec se puede utilizar para crear una red privada virtual (VPN). IPSec se puede utilizar también para permitir la comunicación entre las oficinas remotas y los clientes de acceso remoto a través de Internet.
IPSec funciona en la capa de red para proporcionar a fin de encriptación. Esto significa básicamente que los datos son encriptados en el equipo de origen el envío de los datos. Todos los sistemas intermedios manejar el cifrado de los paquetes de carga útil. Sistemas intermedios, tales como enrutadores sólo transmita el paquete a su destino final. Sistemas intermedios no descifrar los datos cifrados. Los datos sólo se descifra cuando llega al destino.
IPSec interfaces con el protocolo TCP / UDP capa de transporte y la capa de Internet, y se aplica con transparencia a las solicitudes. IPSec es transparente para los usuarios. Esto significa básicamente que IPSec puede proporcionar la seguridad para la mayoría de los protocolos en el protocolo TCP / IP suite. Cuando se trata de aplicaciones, todas las aplicaciones que utilizan TCP / IP puede disfrutar de las características de seguridad de IPSec. Usted no tiene que configurar la seguridad de cada uno de los TCP / IP basados en la aplicación. Mediante el uso de reglas y filtros IPSec pueden recibir tráfico de la red y seleccionar la seguridad de protocolos, algoritmos para determinar qué uso, y puede solicitar claves criptográficas requeridas por cualquiera de los servicios.
Los elementos de seguridad y las capacidades de IPSec puede ser usado para asegurar la red privada de datos confidenciales y privados de las siguientes
- De denegación de servicio (DoS) ataques
- Datos de los hurtos.
- La corrupción de los datos.
- Robo de credenciales de usuario
En Windows Server 2003, IPSec utiliza el Authentication Header (AH) y Encapsulating protocolo de seguridad de carga útil (ESP) protocolo para proporcionar seguridad de los datos sobre:
- Los equipos cliente
- Servidores de dominio
- Grupos de trabajo corporativos
- Redes de área local (LAN)
- Redes de área amplia (WAN)
- Oficinas remotas
Las funciones de seguridad y características que proporciona IPSec se resumen a continuación:
- Autenticación, la firma digital se utiliza para verificar la identidad del remitente de la información. IPSec puede utilizar Kerberos, una clave, o certificados digitales para la autenticación.
- La integridad de los datos, un algoritmo es usado para asegurar que los datos no es manipulado. Una suma de control llamado Código de autenticación de mensaje hash (HMAC) se calcula para los datos del paquete. Cuando un paquete es modificado en tránsito, el HMAC calculado cambios. Este cambio será detectado por el ordenador.
- La privacidad de los datos, algoritmos de cifrado se utilizan para garantizar que los datos que se transmiten es indescifrable.
-
Anti-replay, impide a un atacante de reenviar los paquetes en un intento de obtener acceso a la red privada.
- Nonrepudiation; clave pública firmas digitales se utilizan para demostrar mensaje de origen.
- Dinámica rekeying; claves se pueden crear durante el envío de datos para proteger a los segmentos de la comunicación con diferentes claves.
- Generación de claves, la Diffie-Hellman acuerdo algoritmo de clave se utiliza para habilitar dos ordenadores para intercambiar una clave de cifrado compartida.
- De filtrado de paquetes IP, la capacidad de filtrado de paquetes de IPSec puede ser usado para filtrar y bloquear determinados tipos de tráfico, sobre la base de cualquiera de los siguientes elementos o en una combinación de ellas:
- Direcciones IP
- Protocolos
- Puertos
Lo nuevo en Windows Server 2003 IPSec
Algunas nuevas características de IPSec se han incluido en Windows Server 2003, junto con mejoras en algunas características de IPSec que existía en los anteriores sistemas operativos de Windows:
- Windows Server 2003 incluye el nuevo Monitor de seguridad IP herramienta que se implementa como una MMC. La herramienta Monitor de seguridad IP proporciona un mejor seguimiento de la seguridad de IPSec. Con la herramienta Monitor de seguridad IP, puede realizar las siguientes actividades administrativas:
- Personalizar la pantalla de Monitor de seguridad IP
- Monitor de IPSec información sobre el equipo local.
- Monitor de IPSec información sobre ordenadores remotos.
- Ver estadísticas de IPSec.
-
Ver información sobre las directivas de IPSec
- Ver las asociaciones de seguridad de información.
- Ver los filtros genéricos
- Ver filtros específicos
- Buscar filtros específicos sobre la base de la dirección IP
- Puede configurar utilizando IPSec Netsh la utilidad de línea de comandos. El netsh utilidad de línea de comandos sustituye al utilizado anteriormente Ipsecpol.exe utilidad de línea de comandos.
- IPSec apoya el nuevo Conjunto resultante de directivas (RSoP) característica de Windows Server 2003. El Conjunto resultante de políticas (RSoP) calculadora se puede utilizar para determinar las políticas que se han aplicado a un usuario en particular o del ordenador. Conjunto resultante de directivas (RSoP) resume todas las políticas de grupo que se aplican a un usuario y el ordenador en un dominio. Esto incluye todos los filtros y excepciones. Puede utilizar la característica a través del Conjunto resultante de directivas (RSoP) o Asistente de la línea de comandos para ver la directiva de IPSec que se aplica.
- IPSec con integración de Active Directory le permite gestionar de forma centralizada las políticas de seguridad.
- La autenticación de Kerberos 5 es el método de autenticación utilizado por defecto por las directivas de IPSec para verificar la identidad de las computadoras.
- IPSec es compatible hacia atrás con el marco de seguridad de Windows 2000.
-
Si una política local o de Active Directory basado en la política no puede aplicarse a un ordenador, ahora tiene la opción de crear una política persistente para el equipo. Las características de persistencia de las políticas son:
- La persistencia de las políticas sólo puede ser configurado a través de la Netsh utilidad de línea de comandos.
- La persistencia de políticas son siempre positivos.
- La persistencia de políticas no puede ser cambiada.
- En Windows Server 2003 despliegues IPSec, sólo Intercambio de claves de Internet (IKE) está exenta del tráfico de IPSec. Anteriormente, el Protocolo de reserva de recursos (RSVP) de tráfico, el tráfico de Kerberos, el tráfico de IKE y estaba exento de IPSec.
- IPSec en Windows Server 2003 incluye soporte para el Grupo 3 2048-bits Diffie-Hellman de intercambio de claves. El Grupo 3 es clave mucho más fuerte y más complejo que el anterior Grupo 2 1024-bits Diffie-Hellman de intercambio de claves. Sin embargo, si usted necesita la compatibilidad con Windows 2000 y Windows XP, entonces tienes que utilizar el grupo 2 de 1024-bit Diffie-Hellman de intercambio de claves.
-
IPSec ESP paquetes pueden pasar más de Network Address Translation Authentication Header (AH): Este es uno de los principales protocolos de seguridad utilizados por IPSec. AH proporciona datos de autenticación e integridad, y por lo que pueden ser utilizados en su propia cuando la integridad de los datos y la autenticación de los factores relevantes son la confidencialidad y no lo es. Esto se debe a que AH no prevé para el cifrado, y por lo tanto no puede proporcionar la confidencialidad de los datos. Authentication Header (AH) y Encapsulating Seguridad carga útil (ESP) son los principales protocolos de seguridad utilizados en IPSec. Estos protocolos de seguridad y pueden ser utilizadas por separado o juntos.
- Encapsulating Seguridad de carga útil (ESP): Este es uno de los principales protocolos de seguridad utilizados por IPSec. ESP garantiza la confidencialidad de los datos mediante el cifrado, la integridad de los datos, autenticación de datos, y otras características que apoyan la lucha contra la repetición opcional servicios. Para garantizar la confidencialidad de los datos, una serie de algoritmos de cifrado simétrico se utilizan.
- Autoridades de certificación (CA): Esta es una entidad que genera y valida los certificados digitales. El CA añade su propia firma a la clave pública del cliente. AC cuestión y revocar los certificados digitales.
- Diffie-Hellman grupos: Diffie-Hellman clave Acuerdo permite a dos ordenadores para crear una clave privada compartida que autentica los datos y encripta un datagrama IP. Los diferentes grupos Diffie-Hellman se enumeran aquí:
- Grupo 1; ofrece 768-bits fuerza
- Grupo 2; ofrece 1024-bits fuerza
- Grupo 3; ofrece 2048-bits fuerza
-
Intercambio de claves de Internet (IKE): El protocolo IKE es utilizado por los ordenadores para crear una asociación de seguridad (SA) y el intercambio de información para generar las claves de Diffie-Hellman. IKE gestiona los intercambios y las claves criptográficas de manera que las computadoras pueden tener un conjunto común de la configuración de seguridad. Negociación que se produce en el método de autenticación, y el algoritmo de cifrado y el algoritmo de hashing de utilizar los ordenadores.
- IPSec Controlador: El controlador IPSec realiza una serie de operaciones para permitir la comunicación segura de red, incluyendo los siguientes:
- Crea paquetes IPSec
- Genera checksums.
- Inicia la comunicación IKE
- Añade la AH y ESP cabeceras
- Encripta los datos antes de que sea transmitida.
- Calcula y hashes de comprobación de los paquetes.
- IPSec políticas: las políticas IPSec definir cuándo y cómo los datos deben estar protegidos, y que define métodos de seguridad a utilizar para asegurar los datos. IPSec políticas contienen una serie de elementos:
- Acciones.
- Reglas
- Listas de filtros
- Acciones de filtrado.
- Agente de directivas IPSEC: Este es un servicio que se ejecuta en un equipo que ejecuta Windows Server 2003 que permite acceder a la información política IPSec. El Agente de directivas IPSec IPSec accede a la política de información, ya sea en el Registro de Windows o en Active Directory.
-
Oakley clave determinación protocolo: El algoritmo Diffie-Hellman se utiliza para dos entidades autenticado para negociar y estar de acuerdo en una clave secreta.
- Security Association (SA): Una SA es una relación entre los dispositivos que definir la forma en que utilizan los servicios de seguridad y los ajustes.
- Cifrado de datos triple (3DES): Este es un fuerte algoritmo de cifrado utilizado en las máquinas clientes que ejecutan Windows y en Windows Server 2003. 3DES utiliza claves de 56 bits para el cifrado.
¿Cómo funciona la comprensión de IPSec
Una asociación de seguridad (SA) a la primera se ha establecido entre los dos equipos antes de los datos se pueden pasar con seguridad entre los equipos. Una Asociación de Seguridad (SA) es una relación entre los dispositivos que definir la forma en que utilizan los servicios de seguridad y los ajustes. El SA proporciona la información necesaria para dos ordenadores para comunicarse de forma segura. Internet Security Association and Key Management Protocol (ISAKMP) y el protocolo IKE son el mecanismo que permite a dos ordenadores para establecer asociaciones de seguridad. Cuando una SA se establece entre dos computadoras, los equipos en los que negociar para utilizar la configuración de seguridad para proteger datos. Una clave de seguridad se intercambian y se utilizan para permitir a las computadoras comunicarse de forma segura.
La asociación de seguridad (SA) contiene lo siguiente:
- El acuerdo político que dicta que los algoritmos y longitudes de clave de los dos equipos se utilizan para proteger datos.
- La seguridad de las claves utilizadas para garantizar la comunicación de datos.
- El índice de parámetros de seguridad (SPI).
Con IPSec, dos SV se establecen para cada sentido de la comunicación de datos:
- SA garantiza un tráfico entrante.
- SA asegura un tráfico de salida.
Además de lo anterior, hay una única SA por cada protocolo de seguridad IPSec. Por lo tanto, existen básicamente dos tipos de AE:
- ISAKMP SA: Cuando el flujo de tráfico es de dos direccional IPSec y necesidades para establecer una conexión entre ordenadores, un ISAKMP SA es establecida. La ISAKMP SA define y maneja los parámetros de seguridad entre los dos equipos. Los dos equipos de acuerdo sobre una serie de elementos para establecer el ISAKMP SA:
- Determinar que las conexiones deben ser autenticadas.
- Determinar el algoritmo de cifrado para su uso.
- Determinar el algoritmo para verificar la integridad del mensaje.
Después de los elementos anteriormente mencionados se han negociado entre los dos equipos, las computadoras Oakley utiliza el protocolo de acuerdo sobre la clave maestra ISAKMP. Esta es la clave maestra compartida que se utiliza con los elementos anteriormente mencionados para que puedan garantizar la comunicación de datos.
Después de un canal de comunicación segura se establece entre los dos equipos, los equipos comienzan a negociar los siguientes elementos:
- Determinar si el Authentication Header (AH) protocolo IPSec se debe utilizar para la conexión.
-
Determinar el protocolo de autenticación que debe utilizarse con el protocolo AH para la conexión.
- Determinar si la carga útil Encapsulating Seguridad (ESP) protocolo IPSec se debe utilizar para la conexión.
- Determinar el algoritmo de cifrado que debe utilizarse con el protocolo de pesetas para la conexión.
- SA de IPSec: IPSec SA se refieren a la túnel IPSec y de paquetes IP, y definir los parámetros de seguridad a utilizar durante una conexión. La SA de IPSec se obtiene a partir de los cuatro elementos sólo negociado entre los dos equipos.
Para garantizar y proteger los datos, IPSec utiliza criptografía para proporcionar las siguientes capacidades:
- Autenticación: se refiere a la verificación de la autenticación de la identidad de la computadora enviar los datos, o la identidad de la computadora recibe los datos. Los métodos que IPSec puede utilizar para autenticar el remitente o el receptor de los datos son los siguientes:
- Los certificados digitales: Ofrece los más seguros medios de autenticación de las identidades. Las autoridades de certificación (CA), como Netscape, Entrust, VeriSign, Microsoft y proporcionar los certificados que pueden ser utilizados para fines de autenticación.
- La autenticación Kerberos: Un inconveniente de utilizar el protocolo de autenticación Kerberos v5 es que la identidad del equipo sigue sin cifrar hasta el punto de que toda la carga útil se cifra en la autenticación.
-
Llaves pre-compartidas, debe ser utilizada cuando ninguno de los antiguos métodos de autenticación se puede utilizar.
Anti-repetición garantiza que los datos de autenticación, no puede interpretarse como que se envía a través de la red. Además de la autenticación, IPSec puede proporcionar nonrepudiation. Con nonrepudiation, el remitente de los datos no pueden en una etapa posterior negar de hecho el envío de los datos.
- La integridad de los datos: la integridad de datos se ocupa de garantizar que los datos recibidos en el receptor que no haya sido manipulado. Un algoritmo hash se utiliza para asegurar que los datos no se modifica ya que se pasa a través de la red. Los algoritmos hash que pueden ser utilizados por IPSec son:
- Mensaje Digest (MD5), un hash de una vía que resulta en un hash de 128 bits que se utiliza para la comprobación de integridad.
- Algoritmo de control seguro 1 (SHA1), un 160-bits de clave secreta para generar un 160-bits del mensaje que proporciona más seguridad que MD5.
- Confidencialidad de los datos: IPSec garantiza la confidencialidad de los datos mediante la aplicación de algoritmos de cifrado de datos antes de que sea enviada a través de la red. Si los datos son interceptados, cifrado garantiza que el intruso no puede interpretar los datos. Para garantizar la confidencialidad de los datos, IPSec puede utilizar cualquiera de los siguientes algoritmos de cifrado:
- Cifrado de datos estándar (DES), el algoritmo de cifrado usado por defecto en Windows Server 2003 que utiliza la encriptación de 56 bits.
-
DEC Triple (3DES); los datos se cifra con una clave de descifrado con otra clave, y cifrado de nuevo con una clave diferente.
- DES de 40 bits, el menos seguro algoritmo de cifrado.
La comprensión de los modos de IPSec
IPSec puede operar en uno de los siguientes modos:
- El modo de túnel: el modo de túnel IPSec se puede utilizar para garantizar la seguridad de la WAN y conexiones VPN que utilizan la Internet como medio de conexión. En el modo de túnel, IPSec encripta la cabecera IP y el período de investigación de carga útil. Con túnel, los datos contenidos en un paquete que se encapsula dentro de un paquete adicional. El nuevo paquete se envía a través de la red.
El modo de túnel se utiliza típicamente para las siguientes configuraciones:
- Servidor a servidor
- Servidor a la puerta de enlace
- Puerta a puerta
El proceso de comunicación que se produce cuando el modo de túnel se define como el modo de IPSec se detalla a continuación:
- Los datos son transmitidos mediante el uso de datagramas IP sin protección de un equipo de la red privada.
- Cuando los paquetes llegan al router, el router encapsula el paquete utilizando protocolos de seguridad IPSec.
- El router entonces envía el paquete al router en el otro extremo de la conexión.
- Este router comprueba la integridad del paquete.
- El paquete es descifrado.
-
Los datos del paquete se añade a los datagramas IP sin protección y enviado a el equipo de destino en la red privada.
- Modo de transporte: Este es el modo de operación utilizado por IPSec en el que sólo el período de investigación es la carga útil encriptada a través de la AH o ESP protocolo protocolo. Modo de transporte se utiliza para de extremo a extremo la seguridad de las comunicaciones entre dos equipos de la red.
Componentes de IPSec
Los dos principales componentes de IPSec instalado cuando se despliegue son:
- Agente de directivas IPSEC: Este es un servicio que se ejecuta en un equipo que ejecuta Windows Server 2003 que permite acceder a la información política IPSec. El Agente de directivas IPSec IPSec accede a la política de información, ya sea en el Registro de Windows o en Active Directory. Las principales funciones que el Agente de directivas IPSec proporciona se enumeran a continuación:
- El Agente de directivas IPSec pasa información a la IPSec conductor.
- El Agente de directivas IPSec IPSec accede a la política de información de los locales del Registro de Windows cuando el equipo no pertenece a un dominio.
- El Agente de directivas IPSec IPSec accede a la política de información de Active Directory cuando el equipo es miembro de un dominio.
- El Agente de directivas IPSec IPSec analiza las políticas de los cambios de configuración.
- IPSec conductor: El IPSec conductor realiza una serie de operaciones para permitir la comunicación segura de red, incluyendo los siguientes:
- Crea paquetes IPSec
- Genera checksums.
- Inicia la comunicación IKE
-
Añade la AH y ESP cabeceras
- Encripta los datos antes de que sea transmitida.
- Calcula y hashes de comprobación de los paquetes
La comprensión de los protocolos IPSec
Como se mencionó anteriormente, los principales protocolos de seguridad IPSec son los Authentication Header (AH) y Encapsulating Seguridad carga útil (ESP) protocolos. Hay otros protocolos como IPSec ISAKMP, IKE, Oakley y que utilizan el algoritmo Diffie-Hellman.
Authentication Header (AH) Protocolo
AH El protocolo establece los siguientes servicios de seguridad para proteger datos:
- Autenticación
- Anti-replay
- La integridad de los datos
AH El protocolo garantiza que los datos no se modifica a medida que se mueve a través de la red. También asegura que los datos procedían de la remitente.
El protocolo AH aunque no proporcionar la confidencialidad de los datos, ya que no cifrar los datos contenidos en los paquetes IP. Esto significa básicamente, que si el protocolo AH se utiliza por sí misma; intrusos que son capaces de capturar los datos se pueden leer los datos. Que aunque no podrá cambiar los datos. AH El protocolo puede ser utilizado en combinación con el ESP de protocolo si es necesario para garantizar la confidencialidad de los datos también.
El proceso de comunicación que se produce cuando el protocolo AH se utiliza se muestra aquí:
- Un ordenador transmite los datos a otro ordenador.
-
El encabezado IP, AH cabecera, y los propios datos son firmados para garantizar la integridad de los datos.
- La cabecera AH se inserta entre la cabecera de la propiedad intelectual y la propiedad intelectual de carga útil para proporcionar la autenticación y la integridad.
Los campos dentro de un AH cabecera, junto con el papel desempeñado por cada uno de los campos se muestra aquí:
- Siguiente cabecera; utiliza para especificar el tipo de carga útil de la propiedad intelectual a través de la ID de protocolo IP que existe después de esta cabecera AH.
- Longitud; indica la longitud de la cabecera AH.
- Índice de Parámetros de Seguridad (SPI), indica la correcta asociación de seguridad para la comunicación a través de una combinación de los siguientes:
- Protocolo de seguridad IPSec.
- Dirección IP de destino
- Número de secuencia; utiliza IPSec para proporcionar protección contra la repetición de la comunicación. El número de secuencia comienza en 1, y se incrementa en 1 en cada subsiguiente paquete. Paquetes que tienen el mismo número de secuencia y asociación de seguridad se descartan.
- Autenticación de datos; tiene el valor de comprobación de integridad (ICV) calculado por el envío de equipo para proporcionar la integridad de los datos y autenticación. La recepción de ordenador calcula el ICV en el encabezado IP, AH cabecera, y la carga útil IP y, a continuación, se comparan los dos valores de ICV.
Encapsulating Seguridad de carga útil (ESP) protocolo
El protocolo ESP ofrece los siguientes servicios de seguridad para proteger datos:
- Autenticación
- Anti-replay
- La integridad de los datos
- Confidencialidad de los datos
La principal diferencia entre el protocolo AH y el protocolo ESP es que el protocolo ESP ofrece todos los servicios de seguridad proporcionados por el protocolo AH, junto con la confidencialidad de los datos mediante el cifrado. ESP puede ser utilizado por sí mismo, y puede ser utilizado junto con el protocolo AH. En el modo de transporte, el protocolo sólo signos de pesetas y la propiedad intelectual protege la carga útil. El encabezado IP no está protegida. Si el protocolo ESP se utiliza junto con el protocolo AH, entonces todo el paquete está firmado.
ESP inserta una cabecera ESP y ESP remolque, que básicamente incluye la carga útil del datagrama IP. Todos los datos después de la cabecera de pesetas hasta el punto de la ESP remolque, y el ESP remolque está codificada.
Los campos dentro de una cabecera de pesetas, junto con el papel desempeñado por cada uno de los campos se enumeran aquí:
- Índice de Parámetros de Seguridad (SPI), indica la correcta asociación de seguridad para la comunicación a través de una combinación de los siguientes:
- Protocolo de seguridad IPSec.
- Dirección IP de destino
- Número de secuencia; utiliza IPSec para proporcionar protección contra la repetición de la comunicación. El número de secuencia comienza en 1, y se incrementa en 1 en cada subsiguiente paquete. Paquetes que tienen el mismo número de secuencia y asociación de seguridad se descartan.
Los campos dentro de un remolque de pesetas, junto con el papel desempeñado por cada uno de los campos se enumeran aquí:
- De relleno; requerido por el algoritmo de cifrado para asegurar que los límites están presentes byte.
- Longitud relleno; indica la longitud (en bytes) del relleno que se utilizó en el campo Relleno.
- Siguiente cabecera; utiliza para especificar el tipo de carga útil de la propiedad intelectual a través de la ID de protocolo IP.
- Autenticación de datos; tiene el valor de comprobación de integridad (ICV) calculado por el envío de equipo para proporcionar la integridad de los datos y autenticación. La recepción de ordenador calcula el ICV en el encabezado IP, AH cabecera, y la carga útil IP y, a continuación, se comparan los dos valores de ICV.
Filtros de seguridad IPSec comprensión, métodos de seguridad, y políticas de seguridad
Filtros de seguridad, básicamente, coinciden con los protocolos de seguridad a una dirección de red. Filtros IPSec puede ser usado para filtrar el tráfico no autorizado. El filtro contiene la siguiente información:
- Origen y dirección IP de destino
- Protocolo utilizado
- Puertos de origen y destino
Cada dirección IP contiene un identificador de red y una porción de acogida ID porción. A través de filtros de seguridad, puede filtrar el tráfico de acuerdo con el texto siguiente:
- Tráfico permitido pasar a través de
- Para garantizar el tráfico
- Para bloquear el tráfico
Filtros de seguridad se pueden agrupar en una lista de filtros. No hay límite en el número de filtros que pueden ser incluidos en una lista de filtros. Directivas de IPSec utiliza filtros IP para determinar si una norma de seguridad de propiedad intelectual debe ser utilizada en un paquete.
Puede utilizar un método de seguridad para especificar la forma en que una directiva IPSec debe tratar con el tráfico se pongan en venta un filtro IP. Métodos de seguridad también se denominan acciones de filtrado. El resultado de las acciones de filtrado en cualquiera de los siguientes eventos:
- Suelta el tráfico
- Permite Tráfico
- Negocia la seguridad.
Para aplicar la seguridad en su red, se utilizan las directivas de IPSec. La directivas de IPSec definir cuándo y cómo los datos deben estar protegidos. La directivas de IPSec también determinar qué métodos de seguridad a utilizar cuando se asegurar los datos en los diferentes niveles en su red. Puede configurar directivas de IPSec para que los distintos tipos de tráfico se ven afectados por cada una de las políticas.
Directivas de IPSec se puede aplicar en los siguientes niveles dentro de una red:
- De dominio de Active Directory
- Active Directory sitio
-
Unidad organizativa de Active Directory
- Ordenadores
- Aplicaciones
Los diferentes componentes de una directiva de IPSec están listados aquí:
- De filtros IP, IPSec informa al conductor sobre el tipo de tráfico entrante y saliente de tráfico que debe ser garantizado.
- Lista de filtros IP; utilizan para agrupar diversos filtros de IP en una lista única con el fin de aislar a un conjunto específico de tráfico de la red.
- Acción de filtro, utilizado para definir la forma en que el controlador IPSec debe garantizar el tráfico.
- Método de seguridad, se refiere a la seguridad y los tipos de algoritmos utilizados para el proceso de intercambio de claves y para la autenticación.
- Tipo de conexión: identifica el tipo de conexión que los impactos de las políticas IPSec.
- Túnel de ajuste, el punto final del túnel dirección IP / Regla, una agrupación de los siguientes componentes para garantizar un subconjunto específico de tráfico de una manera en particular:
- Filtros IP
- Acción de filtrado.
- Método de seguridad
- Tipo de conexión
- Túnel de ajuste.
Guardar Entendimiento IPSec
Latest Blog Posts