• FAQs
• Artikelen
• Tutorials
• Web Tools
• Referentie
• Blog
• Proxy
• Software
• Mobiele Telefoons

• Microsoft IPSec-artikelen
• Inzicht IPSec
• Configureren en beheren van IPSEC
• IPSec-beleid
• IPSec Security Consideration
• Monitor IPSEC
• Artikelen Menu
• »Windows Server
• »Microsoft Networking
• »Microsoft Security
• »Active Directory
• »Microsoft IIS
• »Microsoft IPSec
• »Microsoft DNS
• »Microsoft DHCP
• »Microsoft WINS
• »Microsoft Bestandssystemen
• »Remote Access
• »Microsoft Exchange
• »Microsoft SMS
• »Microsoft ISA Server
• »Microsoft Biztalk Server
• Main Menu
• »Networking
• »Physical Layer
• »Data Link Layer
• »Network Layer
• »Netwerk Security
• »Draadloze netwerken
• »VoIP
• »Telefonie
• »Mobiele Telefonie
• »Elektronica
• »Radio
• »Televisie
• »Cryptologie
• »Wachtwoorden
• »Smart Cards
• »Privacy
• »Malware
• »Kwetsbaarheden
• »Unix
• »Macintosh
• »Microsoft Windows
• »Het Web
• »Web Publishing
• »E-mail
• »Instant Messaging
• »Databases
• »Computer Hardware
• »CPU's
• »Memory
• »Opslag
• »Video
• »Audio
• »Multimedia
• »Satelliet
• »Java
• »IT Management
• »Science
• »Miscellaneous

Inzicht IPSec

IPSec Overzicht

IPSec is een suite van protocollen die werd ontworpen door de Internet Engineering Task Force (IETF) om gegevens te beschermen door het ondertekenen en versleutelen van gegevens voordat deze wordt verzonden over publieke netwerken. De IETF Request for Comments (RFC's) 2401-2409 wordt het IPSec-protocollen met betrekking tot security protocollen, veiligheid verenigingen en key management en authenticatie en encryptie-algoritmen. IPSec is een raamwerk van open standaarden voor de versleuteling van TCP / IP-verkeer binnen netwerkomgevingen. IPSec werkt door het versleutelen van de informatie opgenomen in IP-datagrammen via Encapsulating. Dit op zijn beurt netniveau gegevens integriteit, vertrouwelijkheid van gegevens, data-herkomst authenticatie en replay bescherming.

De primaire functies van IPSec zijn:

• Authenticatie; beschermt de prive-netwerk en de persoonlijke gegevens die het bevat. IPSec beveiligt prive-gegevens van man-in-the-middle-aanvallen, uit aanvallers proberen toegang te krijgen tot het netwerk, en van een aanvaller het veranderen van de inhoud van pakketjes data.
• Encryptie; verhult de werkelijke inhoud van gegevenspakketten zodat niet kan worden uitgelegd door onbevoegde partijen.

IPSec kan worden gebruikt om te voorzien in pakketfiltering vermogens. Het kan ook de authenticiteit van het verkeer tussen twee hosts en coderen verkeer doorgegeven tussen de hosts. IPSec kan worden gebruikt voor het maken van een Virtual Private Network (VPN). IPSec kan ook worden gebruikt om de communicatie tussen de externe bureaus en toegang op afstand klanten via het internet.

IPSec werkt op de netwerklaag om end-to-end encryptie. Dit betekent dat de gegevens versleuteld op de broncomputer het versturen van de gegevens. Alle intermediaire systemen hanteren de gecodeerde gedeelte van de pakketten als lading. Intermediair systemen zoals routers slechts zendt het pakket naar de eindbestemming. Intermediair systemen niet decoderen van de gecodeerde gegevens. De gecodeerde gegevens worden alleen gedecodeerd wanneer zij tot de bestemming.

IPSec-interfaces met het TCP / UDP transport en internet laag, en wordt toegepast transparante toepassingen. IPSec is transparant voor gebruikers. Dit betekent in feite dat IPSec kan zekerheid bieden voor de meeste van de protocollen in de TCP / IP-protocol suite. Als het gaat om toepassingen, alle toepassingen die gebruik maken van TCP / IP kunt genieten van de beveiligingsvoorzieningen van IPSec. U hoeft niets te configureren zekerheid voor elke specifieke TCP / IP-gebaseerde applicatie. Door gebruik te maken van regels en filters, IPSec kan ontvangen netwerkverkeer en selecteer de vereiste protocollen, bepalen welke algoritmen te gebruiken, en kunnen toepassen van cryptografische sleutels die door een van de diensten.

De beveiligingsvoorzieningen en de capaciteiten van IPSec kan worden gebruikt om het particuliere netwerk-en prive-vertrouwelijke gegevens uit de volgende

• Denial-of-Service (DoS) aanvallen
• Gegevens diefstal.
• Data corruptie.
• Diefstal van gebruikersreferenties

In Windows Server 2003, IPSec gebruikt de Authentication Header (AH) protocol en Encapsulating Security Payload (ESP) protocol voor de beveiliging van gegevens over:

• Client-computers
• Domain servers
• Corporate werkgroepen
• Local Area Networks (LAN's)
• Wide Area Networks (WAN)
• Externe bureaus

De zekerheid functies en functies die door IPSec zijn hieronder samengevat:

• Authenticatie; een digitale handtekening wordt gebruikt om de identiteit van de afzender van de informatie. IPSec kunt Kerberos, een vooraf gedeelde sleutel, of digitale certificaten voor authenticatie.
• De integriteit van de gegevens, een hash-algoritme wordt gebruikt om ervoor te zorgen dat gegevens niet geknoeid. Een checksum genoemd hash bericht authenticatie code (HMAC) wordt berekend voor de gegevens van het pakket. Als een pakket wordt bewerkt terwijl het in doorvoer, de berekende HMAC veranderingen. Deze wijziging zal worden gedetecteerd door de ontvangende computer.
• Privacy van gegevens; encryptie algoritmes worden gebruikt om ervoor te zorgen dat de gegevens worden doorgegeven, is onontcijferbaar.
• Anti-replay; voorkomt dat een aanvaller van pakketten opnieuw in een poging om toegang te krijgen tot de prive-netwerk.
• Nonrepudiation; publieke sleutel digitale handtekeningen gebruikt om te bewijzen bericht oorsprong.
• Dynamische rekeying; sleutels kunnen worden gemaakt tijdens het verzenden van gegevens te beschermen segmenten van de communicatie met verschillende sleutels.
• Sleutel generatie; de Diffie-Hellman key overeenkomst algoritme wordt gebruikt om twee computers uit te wisselen een gedeelde coderingssleutel.
• IP Packet filtering; de pakketfiltering vermogen van IPSec kan worden gebruikt voor het filteren en blokkeren van specifieke soorten verkeer, op basis van een van de volgende elementen of een combinatie daarvan:
• IP-adressen
• Protocollen
• Havens

Wat Nieuw in Windows Server 2003 IPSec

Een paar nieuwe IPSec functies zijn opgenomen in Windows Server 2003, samen met verbeteringen aan sommige IPSec kenmerken die bestond in de vorige Windows-besturingssystemen:

• Windows Server 2003 bevat de nieuwe IP Security Monitor instrument dat wordt toegepast als een MMC snap-in. Het IP Security Monitor tool biedt verbeterde beveiliging IPSec toezicht. Met de IP Security Monitor tool, kunt u de volgende administratieve werkzaamheden:
• Pas de IP Security Monitor display
• Monitor IPSec informatie op de lokale computer.
• Monitor IPSec informatie over externe computers.
• Bekijk IPSec statistieken.
• Bekijk informatie over IPSec-beleid
• Bekijk beveiligingskoppelingen informatie.
• Bekijk de generieke filters
• Bekijk de specifieke filters
• Zoeken naar specifieke filters op basis van IP-adres
• U kunt configureren met behulp van IPSec de Netsh command-line hulpprogramma. De netsh command-line hulpprogramma vervangt de vroeger gebruikte Ipsecpol.exe opdrachtregelopties nut.
• IPSec ondersteunt de nieuwe Resulterende verzameling beleidsregels (RSoP)-functie van Windows Server 2003. De Resulterende Set van beleid (RSoP) rekenmachine kan worden gebruikt voor het bepalen van de beleidslijnen die zijn toegepast op een bepaalde gebruiker of computer. Resulterende verzameling beleidsregels (RSoP) bedragen groep alle beleidsmaatregelen die zijn toegepast op een gebruiker en de computer in een domein. Dit omvat alle filters en uitzonderingen. U kunt gebruik maken van de functie door de Resulterende Set of Policy (RSoP) Wizard of vanaf de command-line om het IPSec-beleid dat van toepassing is.
• IPSec-integratie met Active Directory kunt u centraal te beheren veiligheidsbeleid.
• Kerberos 5 authenticatie is de standaard authenticatie methode van IPSec-beleid om de identiteit van computers.
• IPSec is achterwaarts compatibel met de Windows 2000 Security Framework.
• Als een lokaal beleid of Active Directory gebaseerd beleid kan niet worden toegepast op een computer, je hebt nu de optie om een hardnekkige beleid voor de specifieke computer. De kenmerken van persistente beleid zijn:
• Persistente beleid kan alleen worden geconfigureerd via de Netsh opdrachtregelopties nut.
• Persistente beleid zijn altijd positief.
• Persistente beleid kan niet worden overschreven.
• In Windows Server 2003 IPSec-implementaties, alleen Internet Key Exchange (IKE) verkeer is vrijgesteld van IPSec. Voorheen Resource Reservation Protocol (RSVP) verkeer, Kerberos-verkeer, en IKE verkeer werd vrijgesteld van IPSec.
• IPSec in Windows Server 2003 biedt ondersteuning voor de Groep 3 2048-bits Diffie-Hellman key exchange. De groep 3 sleutel is veel krachtiger en complexer dan de vorige groep 2 1024-bits Diffie-Hellman key exchange. Als echter je moet achterwaartse compatibiliteit met Windows 2000 en Windows XP, dan moet u gebruik maken van de Groep 2 1024-bits Diffie-Hellman key exchange.
• IPSec ESP pakketten kan doorgeven over Network Address Translation (NAT) door middel van User Datagram Protocol-Encapsulating Security Payload (UDP-ESP) inkapseling in Windows Server 2003 IPSec implementaties.

Inzicht IPSec Terminologie

Dit deel van het artikel geeft een overzicht van de gebruikte terminologie en IPSec concepten:

• Authentication Header (AH): Dit is een van de belangrijkste veiligheids-protocollen die worden gebruikt door IPSec. AH gegevens authenticatie en integriteit, en kan dus worden gebruikt op eigen wanneer gegevens integriteit en authenticatie zijn relevante factoren en de vertrouwelijkheid niet is. Dit komt omdat AH niet voorzien van encryptie, en bieden dus geen vertrouwelijkheid van gegevens. Authentication Header (AH) en Encapsulating Security Payload (ESP) zijn de belangrijkste beveiligingsprotocollen gebruikt in IPSec. Deze beveiligingsprotocollen en kan afzonderlijk worden gebruikt, of samen.
• Encapsulating Security Payload (ESP): Dit is een van de belangrijkste veiligheids-protocollen die worden gebruikt door IPSec. ESP waarborgt de vertrouwelijkheid van de gegevens door middel van encryptie, de integriteit van de gegevens, data-authenticatie, en andere functies die optioneel anti-replay diensten. Om ervoor te zorgen dat de vertrouwelijkheid van de gegevens, een aantal symmetrische encryptie-algoritmen worden gebruikt.
• Certificaatautoriteiten (CA): Dit is een entiteit die genereert en valideert digitale certificaten. De CA voegt zijn eigen handtekening onder de publieke sleutel van de client. CA afgifte en intrekking van digitale certificaten.
• Diffie-Hellman groepen: Diffie-Hellman Key overeenkomst maakt het mogelijk twee computers voor het maken van een gedeelde persoonlijke sleutel die verifieert de gegevens en versleutelt een IP-datagram. De verschillende Diffie-Hellman groepen worden hier genoemd:
• Groep 1; biedt 768-bit sleutel sterkte
• Groep 2; bepaalt 1024-bits sleutel sterkte
• Groep 3; bepaalt 2048-bits sleutel sterkte
• Internet Key Exchange (IKE): De IKE-protocol wordt gebruikt door computers om een Security Association (SA) en de uitwisseling van informatie te genereren Diffie-Hellman sleutels. IKE beheert en uitwisselingen cryptografische sleutels zodat computers kunnen hebben van een gemeenschappelijke set van beveiligingsinstellingen. Onderhandelen gebeurt op die authenticatie methode, en encryptie-algoritme en hashing algoritme de computers zullen gebruiken.
• IPSec Driver: De IPSec-bestuurder voert een aantal operaties in staat te stellen veilig netwerk communicatie, waaronder de volgende:
• Maakt IPSec-pakketten
• Genereert controlesommen.
• Initieert de IKE communicatie
• Voegt de AH en ESP-headers
• Codeert gegevens voordat het wordt verzonden.
• Berekent hashes en controlesommen voor inkomende pakketten.
• IPSec-beleid: IPSec-beleid bepalen wanneer en hoe de gegevens moeten worden beveiligd, en bepaalt welke zekerheid methoden te gebruiken voor het beveiligen van gegevens. IPSec-beleid bevat een aantal elementen:
• Acties.
• Regels
• Filterlijsten
• Filter acties.
• IPSec Policy Agent: Dit is een dienst die draait op een computer met Windows Server 2003 die toegang heeft tot informatie IPSec-beleid. De IPSec-beleidsagent toegangen het IPSec-beleid in zowel het Windows-register of in Active Directory.
• Oakley belangrijke bepaling protocol: Het Diffie-Hellman algoritme wordt gebruikt voor twee geauthentiseerd entiteiten te onderhandelen en worden in overleg op een geheime sleutel.
• Security Association (SA): Een SA is een relatie tussen apparaten die bepalen hoe zij de veiligheid van diensten en instellingen.
• Triple Data Encryption (3DES): Dit is een sterke encryptie-algoritme gebruikt op clientcomputers met Windows en Windows Server 2003-computers. 3DES gebruikt 56-bit sleutels voor de encryptie.

Understanding How IPSec Works

Een Security Association (SA) moet eerst worden vastgesteld tussen de twee computers voor data veilig kan worden doorgegeven tussen de computers. Een Security Association (SA) is een relatie tussen apparaten die bepalen hoe zij de veiligheid van diensten en instellingen. De SA biedt de informatie die nodig is voor twee computers communiceren veilig. Internet Security Association and Key Management Protocol (ISAKMP) en de IKE-protocol zijn het mechanisme waarmee twee computers om veiligheid verenigingen. Wanneer een NV is gevestigd tussen twee computers, de computers die onderhandelen over beveiligingsinstellingen te gebruiken voor beveiliging van gegevens. Een beveiligingssleutel wordt uitgewisseld en gebruikt om de computers te communiceren veilig.

De Security Association (SA), bevat het volgende:

• De politieke overeenkomst, die bepaalt welke algoritmen en sleutellengten de twee computers gebruiken om beveiligde gegevens.
• De zekerheid keys gebruikt om data communicatie.
• De zekerheid parameters Index (SPI).

Met IPSec, twee aparte CTF gevestigd zijn voor elke richting van data communicatie:

• Een SA beveiligt inkomend verkeer.
• Een SA beveiligt uitgaande verkeer.

In aanvulling op het bovenstaande is er een unieke SA voor elke IPSec beveiligingsprotocol. Er zijn dus eigenlijk twee soorten van SAS:

• ISAKMP SA: Wanneer verkeersstroom twee directionele en IPSec nodig om een verbinding tussen computers, een ISAKMP SA, is gevestigd. De ISAKMP SA definieert en handvatten veiligheid parameters tussen de twee computers. De twee computers eens worden over een aantal elementen om de ISAKMP SA:
• Bepaal welke verbindingen moeten worden geverifieerd.
• Bepaal het encryptie-algoritme te gebruiken.
• Bepaal het algoritme te verifiëren bericht integriteit.

Na de bovenstaande elementen is onderhandeld tussen de twee computers, de computers gebruik maken van de Oakley-protocol om het eens over de ISAKMP kapitein toets. Dit is de kapitein gedeelde sleutel die gebruikt zullen worden met de bovenstaande elementen om een veilige datacommunicatie.

Na een beveiligde communicatie-kanaal wordt tot stand gebracht tussen de twee computers, de computers beginnen te onderhandelen over de volgende elementen:

• Bepalen of de Authentication Header (AH) IPSec-protocol moet worden gebruikt voor de verbinding.
• Bepaal de authenticatie protocol dat moet worden gebruikt met de AH-protocol voor de verbinding.
• Bepalen of de Encapsulating Security Payload (ESP) IPSec-protocol moet worden gebruikt voor de verbinding.
• Bepaal het encryptie-algoritme dat moet worden gebruikt met de ESP-protocol voor de verbinding.
• IPSec SA: IPSec CTF's hebben betrekking op de IPSec-tunnel en het IP-pakket, en definieert veiligheid parameters te gebruiken tijdens een verbinding. De IPSec-SA is afgeleid van de bovenstaande vier elementen gewoon onderhandeld tussen de twee computers.

Te waarborgen en te beschermen gegevens, IPSec gebruikt cryptografie om de volgende mogelijkheden:

• Authenticatie: Authenticatie houdt zich bezig met het verifiëren van de identiteit van de computer verzenden van de gegevens, of de identiteit van de computer die de gegevens ontvangt. De methoden die IPSec kunt gebruiken om de authenticiteit van de afzender of ontvanger van de gegevens zijn:
• Digitale certificaten: biedt de meest veilige vorm van authenticatie van identiteiten. Certificaat autoriteiten (CA's), zoals Netscape, Entrust, VeriSign en Microsoft certificaten die kunnen worden gebruikt voor verificatie doeleinden.
• Kerberos-verificatie: Een nadeel van het gebruik van het Kerberos v5 authenticatie protocol is dat de identiteit van de computer blijft ongecodeerde tot het punt dat de hele lading wordt gecodeerd op authenticatie.
• Vooraf gedeelde sleutels, moet worden gebruikt wanneer geen van de voormalige authenticatie methoden kunnen worden gebruikt.

Anti-replay zorgt ervoor dat de authenticatie van gegevens kan niet worden uitgelegd als het wordt verzonden over het netwerk. Naast authenticatie, IPSec kan nonrepudiation. Met nonrepudiation, de afzender van de gegevens kan niet in een later stadium ontkennen daadwerkelijk versturen van de gegevens.

• De integriteit van de gegevens: Data integriteit houdt zich bezig met ervoor te zorgen dat de gegevens die bij de ontvanger niet is geknoeid. Een hashing-algoritme wordt gebruikt om ervoor te zorgen dat de gegevens niet gewijzigd, omdat het wordt doorgegeven via het netwerk. De hashing algoritmen die gebruikt kunnen worden door IPSec zijn:
• Message Digest (MD5); een one-way hash die resulteert in een 128-bit hash die wordt gebruikt voor het controleren van de integriteit.
• Secure Hash Algorithm 1 (SHA1), een 160-bits geheime sleutel tot het genereren van een 160-bits bericht verteren die zorgt voor meer zekerheid dan MD5.
• Vertrouwelijkheid van gegevens: IPSec garandeert vertrouwelijkheid van gegevens door het toepassen van encryptie-algoritmen tot gegevens voordat het wordt verzonden over het netwerk. Als de gegevens worden onderschept, encryptie zorgt ervoor dat de inbreker niet kan interpreteren van de gegevens. Om ervoor te zorgen dat de vertrouwelijkheid van de gegevens, IPSec kunt een van de volgende encryptie-algoritmen:
• Data Encryption Standard (DES), de standaard encryptie algoritme in Windows Server 2003 die gebruik maakt van 56-bits codering.
• Triple DEC (3DES); gegevens worden gecodeerd met een sleutel, ontcijferd met een andere toets, en gecodeerd opnieuw met een andere toets.
• 40-bit DES; de minst veilige encryptie algoritme.

Inzicht in de IPSec Modes

IPSec kan werken in een van de volgende modi:

• Tunnel-modus: IPSec-tunnel modus kan worden gebruikt om de veiligheid voor WAN en VPN-verbindingen die gebruik maken van het internet als de verbinding medium. In de tunnel modus, IPSec versleutelt de IP-header en de IP-lading. Met tunneling, de gegevens in een pakket wordt ingekapseld in een aanvullend pakket. Het nieuwe pakket wordt vervolgens verstuurd over het netwerk.

Tunnel-modus wordt meestal gebruikt voor de volgende configuraties:

• Server naar server
• Server naar gateway
• Gateway to Gateway

Het proces van communicatie die optreedt wanneer de tunnel modus is gedefinieerd als de IPSec-modus is hieronder weergegeven:

1. Gegevens worden verzonden via onbeschermde IP datagrammen vanaf een computer op het particuliere netwerk.
2. Als de pakketten komen op de router, de router Kapselt het pakket met behulp van IPSec beveiligingsprotocollen.
3. De router stuurt vervolgens het pakket op de router aan het andere eind van de verbinding.
4. Deze router controleert de integriteit van het pakket.
5. Het pakket wordt gedecodeerd.
6. De gegevens van het pakket wordt vervolgens toegevoegd aan onbeschermde IP datagrammen en verzonden naar de bestemming computer op het particuliere netwerk.
• Vervoerwijze: Dit is de standaard modus operandi gebruikt door IPSec waarin alleen het IP-lading wordt versleuteld via de AH-protocol of ESP-protocol. Vervoerswijze wordt gebruikt voor de end-to-end beveiliging communicatie tussen twee computers op het netwerk.

IPSec Componenten

De twee primaire componenten geïnstalleerd als IPSec is ingezet, zijn:

• IPSec Policy Agent: Dit is een dienst die draait op een computer met Windows Server 2003 die toegang heeft tot informatie IPSec-beleid. De IPSec-beleidsagent toegangen het IPSec-beleid in zowel het Windows-register of in Active Directory. De belangrijkste functies die de IPSec-beleidsagent bepaalt, worden hieronder genoemd:
• De IPSec-beleidsagent informatie doorgeeft aan het IPSec-stuurprogramma.
• De IPSec-beleidsagent toegangen IPSec-beleid van informatie van de lokale Windows-register wanneer de computer geen deel uitmaakt van een domein.
• De IPSec-beleidsagent toegangen IPSec-beleid van informatie van de Active Directory als de computer lid is van een domein.
• De IPSec-beleidsagent scans IPSec-beleid voor elke configuratie veranderingen.
• IPSec-stuurprogramma: De IPSec-bestuurder voert een aantal operaties in staat te stellen veilig netwerk communicatie, waaronder de volgende:
• Maakt IPSec-pakketten
• Genereert controlesommen.
• Initieert de IKE communicatie
• Voegt de AH en ESP-headers
• Codeert gegevens voordat het wordt verzonden.
• Berekent hashes en controlesommen voor inkomende pakketjes

Inzicht in de IPSec-protocollen

Zoals eerder vermeld, de belangrijkste IPSec security protocollen zijn de Authentication Header (AH) en Encapsulating Security Payload (ESP)-protocollen. Er zijn ook andere protocollen zoals IPSec ISAKMP, IKE en Oakley die gebruik maken van het Diffie-Hellman algoritme.

Authentication Header (AH) Protocol

De AH-protocol biedt de volgende diensten aan zekerheid veilig gegevens:

• Authenticatie
• Anti-replay
• Data integriteit

De AH-protocol zorgt ervoor dat de gegevens niet gewijzigd, omdat het zich over het netwerk. Het zorgt er ook voor dat de gegevens afkomstig van de afzender.

De AH-protocol niet al bieden de vertrouwelijkheid van de gegevens omdat het niet versleutelen van de gegevens in de IP-pakketten. Dit betekent, dat als de AH-protocol wordt gebruikt door zelf; indringers die in staat zijn om gegevens te kunnen lezen van de gegevens. Zij zouden echter niet in staat om de gegevens. De AH-protocol kan worden gebruikt in combinatie met het ESP-protocol als u nodig heeft om ervoor te zorgen de vertrouwelijkheid van de gegevens als goed.

Het proces dat plaatsvindt bij de AH-protocol wordt gebruikt, wordt hier weergegeven:

1. Een computer stuurt de gegevens naar een andere computer.
2. Het IP-header, AH header, en de data zelf is ondertekend om te garanderen de integriteit van de gegevens.
3. AH header wordt ingevoegd tussen de IP header en IP payload om authenticatie en integriteit.

De velden in een AH header, samen met de rol die door elk terrein is hier opgesomd:

• Volgende Header; gebruikt om het type IP-lading via het IP protocol ID die bestaat na deze AH header.
• Lengte; geeft de lengte van de AH header.
• Security Parameters Index (SPI) geeft de juiste beveiliging vereniging voor de communicatie via een combinatie van de volgende kenmerken:
• IPSec beveiligingsprotocol.
• Bestemming IP adres
• Reeksnummer; IPSec gebruikt om anti-replay bescherming voor de communicatie. Het volgnummer begint bij 1 en wordt verhoogd met 1 in elke daaropvolgende pakket. Pakketten die hebben hetzelfde volgnummer en veiligheid vereniging worden gezet.
• Authenticatie gegevens; het bezit is van de integriteit controleren waarde (ICV), berekend door de verzendende computer om gegevens te verstrekken integriteit en authenticatie. De ontvangende computer berekent de ICV over de IP-header, AH header, en IP lading en vervolgens vergelijkt de twee ICV waarden.

Encapsulating Security Payload (ESP) protocol

De ESP-protocol biedt de volgende diensten aan zekerheid veilig gegevens:

• Authenticatie
• Anti-replay
• Data integriteit
• Vertrouwelijkheid van gegevens

Het belangrijkste verschil tussen de AH-protocol en de ESP-protocol is dat het ESP-protocol biedt alle zekerheid de diensten van de AH-protocol, samen met de vertrouwelijkheid van de gegevens door middel van encryptie. ESP kan worden gebruikt op haar eigen, en het kan gebruikt worden samen met de AH-protocol. In vervoerswijze, de ESP-protocol tekenen en beschermt de IP-lading. Het IP-header is niet beschermd. Als het ESP-protocol wordt gebruikt in combinatie met de AH-protocol, dan is het hele pakket wordt ondertekend.

ESP voegt een ESP-header en ESP aanhangwagen, die in feite omsluit de lading van het IP-datagram. Alle gegevens na de ESP-header aan de punt van de ESP aanhangwagen, en de werkelijke ESP aanhangwagen is gecodeerd.

Het gebied binnen een ESP kop, samen met de rol die door elk veld worden hier genoemd:

• Security Parameters Index (SPI) geeft de juiste beveiliging vereniging voor de communicatie via een combinatie van de volgende kenmerken:
• IPSec beveiligingsprotocol.
• Bestemming IP adres
• Reeksnummer; IPSec gebruikt om anti-replay bescherming voor de communicatie. Het volgnummer begint bij 1 en wordt verhoogd met 1 in elke daaropvolgende pakket. Pakketten die hebben hetzelfde volgnummer en veiligheid vereniging worden gezet.

Het gebied binnen een ESP aanhangwagen, samen met de rol die door elk veld worden hier genoemd:

• Padding; door het encryptie-algoritme om ervoor te zorgen dat byte grenzen aanwezig zijn.
• Padding Lengte; geeft de lengte (bytes) van de opvulling die werd gebruikt in de Padding gebied.
• Volgende Header; gebruikt om het type IP-lading via het IP protocol ID.
• Authenticatie gegevens; het bezit is van de integriteit controleren waarde (ICV), berekend door de verzendende computer om gegevens te verstrekken integriteit en authenticatie. De ontvangende computer berekent de ICV over de IP-header, AH header, en IP lading en vervolgens vergelijkt de twee ICV waarden.

Inzicht IPSec Security Filters, veiligheids-methoden, en veiligheidsbeleid

Beveiligingsfilters essentie overeen beveiligingsprotocollen aan een specifiek netwerk adres. IPSec-filters kunnen worden gebruikt om te filteren op ongeoorloofde verkeer. Het filter bevat de volgende informatie:

• Bron en doel IP-adres
• Gebruikte protocol
• Bron en de bestemming havens

Elk IP-adres bevat een netwerk-ID en een host-ID. Door veiligheid filters kunt u het verkeer filteren op basis van de volgende:

• Verkeer toegestaan om door
• Verkeer naar veilige
• Verkeer te blokkeren

Beveiliging filters kunnen worden gegroepeerd in een filterlijst. Er is geen limiet aan het aantal filters die kunnen worden opgenomen in een filterlijst. IPSec-beleid maakt gebruik van IP-filters te vernemen, of een IP-beveiliging moet worden gebruikt in een pakket.

U kunt gebruik maken van een veiligheids-methode om de wijze waarop een IPSec-beleid moet omgaan met het verkeer overeenkomende een IP-filter. Beveiliging methoden worden ook wel aangeduid als filter acties. Het filter acties resulteren in een van de volgende evenementen:

• Drops verkeer
• Stelt Verkeer
• Onderhandelt over de veiligheid.

Voor de toepassing van de veiligheid in uw netwerk, IPSec-beleid worden gebruikt. De IPSec-beleid bepalen wanneer en hoe de gegevens moeten worden beveiligd. De IPSec-beleid ook bepalen welke zekerheid methoden kunnen gebruiken bij de beveiliging van de gegevens op de verschillende niveaus in uw netwerk. U kunt IPSec-beleid, zodat de verschillende soorten verkeer worden beïnvloed door elk afzonderlijk beleid.

IPSec-beleid kan worden toegepast op de volgende niveaus binnen een netwerk:

• Active Directory-domein
• Active Directory-site
• Active Directory organisatorische eenheid
• Computers
• Toepassingen

De verschillende onderdelen van een IPSec-beleid worden hier genoemd:

• IP filter; informeert de IPSec-stuurprogramma op de aard van het inkomende verkeer en het uitgaande verkeer dat moet worden beveiligd.
• IP filter list; gebruikt voor het groeperen van meerdere IP-filters in een lijst om te isoleren van een specifieke set van netwerkverkeer.
• Filteractie; gebruikt om te definiëren hoe de IPSec-stuurprogramma moet veilig verkeer.
• Beveiliging methode; verwijst naar veiligheid soorten en algoritmen die worden gebruikt voor de sleutel-uitwisseling en voor authenticatie.
• Verbindingstype: identificeert het type verbinding, die het IPSec-beleid effecten.
• Tunnel setting; de tunnel eindpunt het IP-adres of de DNS-naam.
• Regel; een samenwerkingsverband van de volgende elementen om een specifieke subset van het verkeer op een bepaalde manier:
• IP filter
• Filteractie.
• Beveiliging methode
• Verbindingstype
• Tunnel setting.

Bookmark Inzicht IPSec

Laatste blogberichten

• Windows 7 Forum

• Boston College: mogelijkheid tot gebruik van een Command Line is een teken van criminele activiteiten

• Google Hacked?

• Recycle uw oude telefoon - Maak wat geld, en sla het milieu ook!

• SourceForge vs Freshmeat

• Snelste webbrowser: Google Chrome

• Nieuwe Webmaster Forum

• Ubuntu Security Tools

• Terroristen Ga Hi-Tech

• Hoe Droog een Cell Phone Dat is Kom in contact met water