Autor: Szymon Śmiech. Protokół IPSec oferuje kilka nowych funkcji w systemach z rodziny Windows Server 2003. Oto niektóre z nich:



Podobne dokumenty
Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Problemy techniczne SQL Server

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Problemy techniczne SQL Server. Jak odblokować porty na komputerze-serwerze, aby umożliwić pracę w sieci?

Zapora systemu Windows Vista

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Laboratorium - Podgląd informacji kart sieciowych bezprzewodowych i przewodowych

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Nieskonfigurowana, pusta konsola MMC

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

Konfiguracja połączenia VPN do sieci Akademii Morskiej

12. Wirtualne sieci prywatne (VPN)

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Laboratorium - Konfigurowanie zapory sieciowej systemu Windows 7

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows XP. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

VComNet Podręcznik użytkownika. VComNet. Podręcznik użytkownika Wstęp

INSTRUKCJA ŁĄCZENIA Z SIECIĄ VPN WYDZIAŁU INŻYNIERII PROCESOWEJ I OCHRONY ŚRODOWISKA POLITECHNIKI ŁÓDZKIEJ

11. Rozwiązywanie problemów

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Rozdział 8. Sieci lokalne

Instrukcja konfiguracji sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows 8

Optimus ABA IPSec + Windows 2000/XP + Terminal ABAX-2. Instrukcja tworzenia połącze ń szyfrowanych.

Konfiguracja połączenia VPN do sieci Akademii Morskiej

8. Sieci lokalne. Konfiguracja połączenia lokalnego

Ustawienia personalne

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Laboratorium - Konfiguracja zapory sieciowej systemu Windows Vista

Rozdział 5. Administracja kontami użytkowników

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Sposoby zdalnego sterowania pulpitem

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Tomasz Greszata - Koszalin

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

9. Internet. Konfiguracja połączenia z Internetem

Pakiet informacyjny dla nowych użytkowników usługi Multimedia Internet świadczonej przez Multimedia Polska S.A. z siedzibą w Gdyni

Instrukcja podłączania komputerów z systemem Microsoft Windows 8 do sieci eduroam

Zadanie 2. Tworzenie i zarządzanie niestandardową konsolą MMC

Zdalne zarządzanie systemem RACS 5

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

Instrukcja do konfiguracji sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows XP

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Laboratorium - Konfiguracja karty sieciowej do używania protokołu DHCP w systemie Windows XP

Systemy operacyjne i sieci komputerowe Szymon Wilk Konsola MMC 1

Laboratorium - Konfiguracja routera bezprzewodowego w Windows Vista

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

Instrukcja konfigurowania sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows XP

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

Laboratorium A: Zarządzanie ustawieniami zabezpieczeń/klucz do odpowiedzi

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Temat: Administracja kontami użytkowników

Instalacja i konfiguracja IIS-a na potrzeby dostępu WEBowego/Secure

11. Autoryzacja użytkowników

Internet wymagania dotyczące konfiguracji

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Laboratorium Ericsson HIS NAE SR-16

Sprawdzanie połączenia sieciowego

Instrukcja podłączania komputerów z systemem Microsoft Windows Vista/7 do sieci eduroam

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows Vista/7. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Instrukcja do konfiguracji sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows Vista

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Konfiguracja aplikacji ZyXEL Remote Security Client:

Podłączanie się do sieci eduroam w systemie Windows Vista/Windows 7 wersja 2

INSTRUKCJA ŁĄCZENIA Z SIECIĄ VPN WYDZIAŁU INŻYNIERII PROCESOWEJ I OCHRONY ŚRODOWISKA POLITECHNIKI ŁÓDZKIEJ

Ćwiczenie Nr 4 Administracja systemem operacyjnym z rodziny Microsoft Windows

Instalacja Active Directory w Windows Server 2003

Instalacja i konfiguracja IIS-a na potrzeby dostępu WEB do aplikacji Wonderware InTouch Machine Edition

Bezpieczny system poczty elektronicznej

Adresowanie karty sieciowej

Podłączenie urządzenia. W trakcie konfiguracji routera należy korzystać wyłącznie z przewodowego połączenia sieciowego.

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

4. Podstawowa konfiguracja

INFO-NET.wsparcie. pppoe.in.net.pl. Pamiętaj aby nie podawać nikomu swojego hasła! Instrukcja połączenia PPPoE w Windows XP WAŻNA INFORMACJA

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Ćwiczenie Zmiana sposobu uruchamiania usług

Połączenie Host-LAN ISDN

Instrukcja konfiguracji urządzenia TL-WA830RE v.1

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Praca w sieci zagadnienia zaawansowane

Koncentrator VPN. Konfiguracja OpenVPN. +Sieci hybrydowe. Dotyczy wersji oprogramowania 3.7 Wersja dokumentu: 1.0

Przygotowanie urządzenia:

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

UNIFON podręcznik użytkownika

Instrukcje instalacji pakietu IBM SPSS Data Access Pack dla systemu Windows

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

INSTALACJA LICENCJI SIECIOWEJ NET HASP Wersja 8.32

KONFIGURACJA PRZEGLĄDAREK. Poniższa konfiguracja dedykowana jest dla Bankowości Internetowej SGB

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

Transkrypt:

Konfiguracja IPSec Data publikacji: 2004-04-06 12:58 Odsłon: 24272 Dodał: zespół red. Spis treści Autor: Szymon Śmiech Czym jest IPSec? Nowe funkcje protokołu IPSec Terminologia Tworzenie zasad IPSec Tworzenie powłoki nowej zasady Dodawanie reguł filtrowania do zasady IPSec Dodawanie listy filtrów do reguł filtrowania Włączanie zasady IPSec Modyfikacja zasady Monitorowanie protokołu IPSec Obszar zastosowania protokołu IPSec IPSec (IP Security) to solidny mechanizm zabezpieczający, starający się usunąć wiele mankamentów IP. IPSec identyfikuje konkretny ruch za pomocą modelu filtrowania; zidentyfikowany ruch może zostać zablokowany, przepuszczony dalej lub zabezpieczony za pomocą uwierzytelniania lub zaszyfrowania. IPSec obsługuje uwierzytelnianie i szyfrowanie, jest często wykorzystywany w wirtualnych sieciach prywatnych i bezprzewodowych sieciach lokalnych w sytuacjach w których grozi podsłuch. IPSec może służyć do zabezpieczania dowolnych połączeń sieciowych. W odróżnieniu od filtrowania TCP/IP, w którym podaje się tylko dozwolone adresy IP pakietów, IPSec negocjuje bezpieczne połączenie między dwoma komputerami. Działania zabezpieczające mają miejsce w obu komputerach za pośrednictwem uzgodnionego łącza. Protokół IPSec ma dwa cele: Ochrona zawartości pakietów IP Ochrona przed atakami sieciowymi polegająca na filtrowaniu pakietów i wymuszaniu komunikacji zabezpieczonej Nowe funkcje protokołu IPSec Protokół IPSec oferuje kilka nowych funkcji w systemach z rodziny Windows Server 2003. Oto niektóre z nich: Monitor zabezpieczeń IP W systemie Windows 2000 przystawkę Monitor zabezpieczeń IP zaimplementowano w postaci programu wykonywalnego (IPSecmon.exe). W systemie Windows XP i systemach z rodziny Windows Server 2003 rolę Monitora zabezpieczeń IP pełni konsola MMC. Klucz główny o silniejszym algorytmie kryptograficznym (Diffie-Hellman)

Protokół IPSec podnosi poziom zabezpieczeń, obsługując teraz wymianę klucza Diffie-Hellman'a o długości 2048 bitów. Dzięki silniejszej grupie Diffie-Hellman'a, klucz główny dostarczony metodą wymiany Diffie-Hellman'a ma większą siłę. Silne grupy Diffie-Hellman'a w połączeniu z dłuższymi kluczami znacznie utrudniają złamanie klucza tajnego. Zarządzanie z wiersza poleceń za pomocą polecenia Netsh Używając kontekstu polecenia Netsh protokołu IPSec, można konfigurować statyczne lub dynamiczne ustawienia trybu głównego IPSec, ustawienia trybu szybkiego, reguły i parametry konfiguracyjne. Aby wprowadzić kontekst polecenia Netsh protokołu IPSec, należy wpisać polecenie netsh -c ipsec w wierszu polecenia. Kontekst polecenia Netsh protokołu IPSec zastępuje narzędzie Ipsecpol.exe, które jest dostarczane w zestawie Windows 2000 Server Resource Kit. Zabezpieczenia podczas uruchamiania komputera Protokół IPSec podnosi poziom zabezpieczeń, oferując filtrowanie akumulujące ruch sieciowy podczas uruchamiania komputera. Dzięki filtrowaniu akumulującemu, podczas uruchamiania komputera dozwolone są tylko następujące typy ruchu: ruch wychodzący zainicjowany przez komputer podczas uruchamiania, ruch przychodzący wysłany w odpowiedzi na ruch wychodzący oraz ruch DHCP. Alternatywą do filtrowania akumulacyjnego jest możliwość zablokowania całego ruchu przychodzącego i wychodzącego aż do momentu zastosowania zasad IPSec. Usunięcie domyślnych wykluczeń ruchu W systemach Windows 2000 i Windows XP cały ruch emisji, multiemisji, IKE (Internet Key Exchange), Kerberos i RSVP (Resource Reservation Protocol) jest domyślnie wyłączony z filtrowania IPSec. Aby znacząco zwiększyć bezpieczeństwo, w systemach z rodziny Windows Server 2003 wykluczony z filtrowania IPSec jest tylko ruch IKE (wymagany do ustanawiania połączeń korzystających z zabezpieczeń IPSec). Terminologia Kombinacja ustawień konfiguracyjnych wszystkich protokołów związanych z IPSec nosi nazwę reguły lub reguły filtru. Z kolei zbiór składający się z jednej lub z kilku reguł nazywany jest zasadą IPSec. W każdym momencie może być włączona tylko jedna zasada IPSec, która może obejmować wiele reguł. W skład każdej reguły wchodzi pięć elementów: Lista filtrów IP. Składa się z jednej lub kilku definicji filtrowania pakietów na podstawie protokołu, adresu/portu/maski źródła oraz adresu/portu/maski miejsca docelowego. Listy filtrów mają nazwy i mogą być używane w wielu regułach. Każda reguła może mieć skonfigurowaną tylko jedną listę filtrów. Poniżej przedstawiono przykładowy filtr zamykający port 139.

Akcja filtru. Określa, co robić z połączeniami pasującymi do kryteriów filtru: zezwalać na nie, blokować czy negocjować. Metody uwierzytelniania. Do wyboru jest kilka metod uwierzytelniania użytkownika: Kerberos, certyfikaty lub kod/klucz. Ustawienie tunelowania. Decydują, czy połączenie może używać wirtualnej sieci prywatnej. Typ połączenia. Ustala, których połączeń ma dotyczyć dana reguła: wszystkich, lokalnych (LAN), czy zdalnych. Tworzenie zasad IPSec Do zarządzania zasadami IPSec służy rozszerzenie Zarządzanie zasadami zabezpieczeń IP rozszerzenia Ustawienia zabezpieczeń, które z kolei jest rozszerzeniem przystawki Zasady grupy konsoli Microsoft Management Console (MMC). Innym sposobem odszukania tego rozszerzenia jest otwarcie konsoli Ustawienie zabezpieczeń lokalnych: w Panelu sterowania otwórz folder Narzędzia administracyjne i kliknąć ikonę Zasady zabezpieczeń lokalnych. Innym sposobem jest wpisanie secpol.msc w wierszu polecenia. Tworzenie powłoki nowej zasady Z menu Akcja należy wybrać polecenie Utwórz zasadę zabezpieczeń IP, aby uruchomić kreator zasad zabezpieczeń IP, i na pierwszej karcie należy kliknąć Dalej. Następnie należy wpisać nazwę nowej zasady i ewentualnie opis, po czym kliknąć Dalej.

Reguła odpowiedzi domyślnej wymusza uwierzytelnianie Kerberos oraz niestandardowy schemat zabezpieczeń i jest używana w przypadku, gdy nie ma zastosowania żadna inna reguła. Jeśli chcemy dodać regułę tej zasady, należy pozostawić zaznaczone pole wyboru Włącz regułę odpowiedzi domyślnej. W przeciwnym wypadku należy usunąć zaznaczenie z tego pola i kliknąć Dalej. Jeśli została wybrana reguła domyślna odpowiedzi, kreator poprosi o podanie metody uwierzytelniania dla reguły. Należy ja wybrać i kliknąć Dalej. Dodawanie reguł filtrowania do zasad W tym momencie jest utworzona powłoka nowej zasady i należy przystąpić do ustalania reguł filtrowania. Należy upewnić się czy jest zaznaczone pole wybory Edytuj właściwości i kliknąć przycisk Zakończ. Na ekranie pojawi się okno dialogowe z właściwościami nowej zasady. Jeśli wcześniej została zaznaczona reguła odpowiedzi domyślnej, powinna być teraz zaznaczona na liście reguły zabezpieczeń IP i można przystąpić do dodawania własnych reguł do zasady. Należy się upewnić czy jest zaznaczone pole wyboru Użyj kreatora dodawania i należy kliknąć przycisk Dodaj, aby uruchomić Kreator reguł zabezpieczeń. (Można też usunąć zaznaczenie z pola wyboru Użyj kreatora dodawania). Następnie należy kliknąć Dalej.

Jeśli reguła ma pozwalać na połączenie VPN, należy zaznaczyć pole wyboru Koniec tunelu jest określony przez ten adres IP i należy wprowadzić adres IP komputera, który będzie prosił o połączenie. W przeciwnym wypadku należy pozostawić zaznaczoną opcje Ta reguła nie określa żadnego tunelu. (W oknie dialogowym właściwości opcje te znajdują się na karcie Ustawienia tunelowania). Następnie należy kliknąć przycisk Dalej. Uwaga: należy utworzyć oddzielną regułę dla każdego komputera który będzie prosił o połączenie VPN. Następnie należy zaznaczyć typ połączeń sieciowych których ta ma dotyczyć ta zasada (karta Typ połączenia). Opcja dostęp zdalny odnosi się do połączeń dialup. Następnie należy kliknąć przycisk Dalej. W kolejnym kroku należy wybrać metodę uwierzytelniania dla reguły (karta Metody uwierzytelniania) i następnie kliknąć przycisk Dalej. Dodawanie listy filtrów do reguł filtrowania Teraz należy wybrać lub zdefiniować listę filtrów używanych przez regułę. Jeśli używany był Kreator reguł zabezpieczeń, na ekranie powinna być widoczna lista predefiniowanych filtrów, taka jak na rysunku poniżej. Porównywalne ustawienia są na karcie Lista filtrów IP okna dialogowego właściwości.

Jeśli lista filtrów, która ma być użyta, jest już zdefiniowana, należy ja zaznaczyć i przejść do podrozdziału Zakończenie konfigurowania reguły. W przeciwnym razie należy kliknąć Dodaj, aby zdefiniować nowa listę reguł. W oknie dialogowym Lista filtrów IP, stanowiącym powłokę nowych list filtrów, należy wprowadzić nazwę i opis nowej listy. Mając zaznaczone pole wyboru Użyj kreator dodawania należy kliknąć przycisk Dalej, aby dodać nowy filtr do listy. (Można usunąć zaznaczenie z pola wyboru Użyj kreatora dodawania). Uwaga: Listy filtrów są zapisywane pod swoimi nazwami i mogą być używane w wielu regułach. Na pierwszej karcie kreatora filtrów IP należy kliknąć przycisk Dalej. Następnie należy wybrać z listy rozwijalnej adres źródłowy pakietów. (W oknie dialogowym Właściwości filtru lista ta znajduje się na karcie adresowanie). Jeśli jest tworzony filtr dla połączenia VPN, należy zaznaczyć pozycje Określony adres IP dla źródła i Mój adres IP dla komputera docelowego. Jako adres IP źródła podaj adres IP komputera proszącego o połączenie VPN. Następnie należy kliknąć Dalej. Wybrać z listy adres docelowy pakietów. (W oknie dialogowym Właściwości filtru lista ta znajduje się na karcie adresowanie). Możliwości wyboru są takie same jak w przypadku źródła. Kliknąć przycisk Dalej. Następnie należy wybrać protokół. (w Oknie dialogowym Właściwości filtru lista ta znajduje się na karcie Protokół). Najczęściej jest to Dowolny, TCP, UDP i ICMP. Kliknąć przycisk Dalej. W

zależności od dokonanego wyboru może być jeszcze konieczne wybranie numeru portu do filtrowania. Następnie należy kliknąć przycisk zakończ, aby wrócić do okna dialogowego Lista filtrów IP. Jeśli jest potrzeba dodania kolejnego filtru, należy kliknąć Dodaj i powtórzyć całą procedurę. Po zakończeniu dodawania filtrów do ich listy należy kliknąć przycisk OK, aby wrócić do kreatora reguł zabezpieczeń. Zaznacz listę filtrów, którą właśnie utworzyłeś i kliknij przycisk Dalej. Zakończenie konfigurowania reguły Zaznacz na liście akcje wykonywaną na pakietach pasujących do filtru (w oknie dialogowym Właściwości nowej reguły lista ta znajduje się na karcie Akcje filtrowania). Wybierz jedną z domyślnych akcji lub kliknij przycisk Dodaj, aby uruchomić kreator akcji filtrowania i utworzyć nowa akcje. (Aby wyświetlić, okno dialogowe właściwości jednej z domyślnych akcji, zaznacz ja na liście i kliknij przycisk Edytuj). Pojawi się wówczas okno dialogowe podobne do pokazanego poniżej). Następnie kliknij Dalej, a potem Zakończ. Kliknij przycisk OK. W ten sposób nowa reguła jest już zdefiniowana, aby dodać kolejna, kliknij przycisk Dalej i powtórz całą procedurę. Każda dodana reguła pojawia się na liście Reguły

zabezpieczeń IP okna dialogowego z właściwościami zasady. Po dodaniu wszystkich reguł kliknij przycisk Zamknij. Włączanie zasady IPSec W oknie dialogowym Ustawienie zabezpieczeń lokalnych kliknij prawym przyciskiem myszy zasadę, która chcesz włączyć i wybierz z menu podręcznego polecenie przypisz. W ten sposób zasada ta zostanie włączona. Jeśli wcześniej przypisałeś inna zasadę zostanie ona anulowana. Modyfikacja zasad IPSec Jak już powiedzieliśmy wcześniej, zasady IPSec składają się z listy filtrów, akcji filtrowania, metod uwierzytelniania, ustawień tunelowania i typów połączeń. Listy filtrów i akcje filtrowania są składnikami mającymi swoje nazwy i ustawienia konfiguracyjne. W rezultacie listy filtrów i akcje filtrowania można edytować niezależnie lub w ramach zwierających je zasad. Zaznacz folder Zasady zabezpieczeń IP komputera lokalnego w okienku drzewa konsoli Ustawienia zabezpieczeń lokalnych, rozwiń menu akcja i wybierz polecenie Zarządzaj listami filtrów i akcjami filtrowania, aby wyświetlić okno dialogowe pokazane na rysunku poniżej. Zaznacz listę filtrów lub akcje filtrowania, którą chcesz zmienić i kliknij przycisk Edytuj. Na ekranie pojawi się odpowiednie okno dialogowe z właściwościami, umożliwiające dokonanie zmian w konfiguracji. Zmiany te zostaną uwzględnione w każdej zasadzie używającej danej listy filtrów lub akcji filtrowania.

Aby zmodyfikować zasadę IPSec, zaznacz ją w konsoli Ustawienie zabezpieczeń lokalnych, a następnie wybierz z menu Akcja polecenie Właściwości. Na ekranie pojawi się wówczas okno dialogowe z właściwościami zasady, podobne do pokazanego na rysunku poniżej. Zaznacz regułę, która chcesz zmienić, a następnie kliknij przycisk Edytuj, aby wyświetlić okno dialogowe Właściwości: edytuj regułę. Jest to, to samo okno dialogowe, które służy do tworzenia nowych reguł bez pomocy kreatora. Poszczególne karty w tym oknie zwierają ustawienia jednego z pięciu składników IPSec. Monitorowanie protokołu IPSec Narzędzie Monitor zabezpieczeń IP wyświetla informacje o każdym aktywnym skojarzeniu zabezpieczeń. Monitor zabezpieczeń IP podaje również dane statystyczne o skojarzeniach zabezpieczeń, użyciu kluczy, wysłanych oraz odebranych bajtach itd. W Windows Server 2003 Monitor zabezpieczeń IP jest zaimplementowany jako przystawka MMC, widoczna na rysunku poniżej.

W Windows 2000 Monitor zabezpieczeń IP jest programem autonomicznym. Aby go uruchomić, w wierszu poleceń należy wpisać ipsecmon. Obszar zastosowań IPSec Zalecane scenariusze zabezpieczeń IPSec Filtrowanie pakietów Protokołu IPSec można także używać łącznie z zaporą połączenia internetowego i usługą Routing i dostęp zdalny, aby dopuszczać lub blokować ruch przychodzący lub wychodzący. Zabezpieczanie ruchu między danymi hostami na określonych ścieżkach Protokół IPSec może służyć do wzajemnego uwierzytelniania i ochrony kryptograficznej ruchu między serwerami lub innymi statycznymi adresami IP czy podsieciami. Zabezpieczanie ruchu do serwerów Protokołu IPSec można użyć, aby wymóc wzajemne uwierzytelnianie na wszystkich komputerach klienckich uzyskujących dostęp do serwera. Użycie tunelowania w protokole L2TP/IPSec dla połączeń wirtualnych sieci prywatnych. Użycie protokołu IPSec w trybie tunelowania w tunelach brama-brama. W celu współpracy z innymi routerami, bramami oraz systemami końcowymi, które nie obsługują tunelowania w

protokole L2TP/IPSec ani PPTP, można użyć protokołu IPSec w trybie tunelowania dla tuneli brama-brama. Scenariusze w których nie zaleca się stosowania zabezpieczeń IPSec W dużych sieciach, kiedy zasady wymagają adresów dynamicznych na obu systemach końcowych oraz w przypadku komputerów przenośnych złożoność zarządzania zasadami może utrudniać wdrożenie protokołu IPSec. Z tego względu nie zaleca się stosowania protokołu IPSec w poniższych sytuacjach: Zabezpieczanie komunikacji między członkami domeny a ich kontrolerami domeny Ze względu na złożoność konfiguracji zasad protokołu IPSec i zarządzania wymaganego w tym scenariuszu nie zaleca się użycia protokołu IPSec do zabezpieczenia komunikacji między członkami domeny a ich kontrolerami domeny. Zabezpieczanie całego ruchu w sieci Trudno jest skonfigurować komunikację w protokole IPSec między wszystkimi komputerami klienckimi i wszystkimi serwerami w celu zabezpieczenia wielu lub wszystkich komputerów w sieci. Protokół IPSec nie pozwala negocjować zabezpieczeń dla ruchu związanego z multiemisjami i emisjami. Ruch komunikacji w czasie rzeczywistym, aplikacje wymagające protokołu ICMP oraz aplikacje typu peer-to-peer mogą być niezgodne z protokołem IPSec. Zabezpieczanie ruchu w sieciach bezprzewodowych 802.11. Zasady protokołu IPSec nie są zoptymalizowane pod kątem konfiguracji klientów przenośnych. Z tego względu protokół IPSec nie jest zalecany jako jedyna metoda zabezpieczania ruchu w sieciach bezprzewodowych 802.11. Zamiast tego protokołu zaleca się użycie uwierzytelniania typu IEEE 802.1X. Standard 802.1X podwyższa poziom zabezpieczeń i ułatwia ich wdrażanie, zapewniając obsługę scentralizowanej identyfikacji użytkowników, uwierzytelniania, dynamicznego zarządzania kluczami i księgowania. Gdy klienci zmieniają dynamicznie punkty dostępu w tej samej sieci, protokół IPSec może zostać użyty wraz z protokołami 802.11 i 802.1x. W wypadkach, gdzie mobilność powoduje zmianę adresu IP klienta, skojarzenia zabezpieczeń protokołu IPSec stają się nieprawidłowe i są renegocjowane nowe skojarzenia zabezpieczeń. Użycie protokołu IPSec w trybie tunelowania dla połączeń sieci VPN dostępu zdalnego. Tryb tunelowania IPSec jest niezalecany w scenariuszach dostępu zdalnego z użyciem VPN. Dla połączeń z dostępem zdalnym VPN należy używać kombinacji protokołów L2TP/IPSec lub protokołu PPTP. Artykuł opracowano na podstawie materiałów zawartych na stronie Microsoft.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres