Securitate IT

Utilizarea IPSec pentru securizarea comunicatiei
 
IPSec este o extensie la TCP/IP care permite securizarea comunicatiei la nivelul transport, în mod transparent fata de aplicatii. IPSec furnizeaza autentificare si/sau criptare.
IPSec este compus dintr-un set de protocoale pentru autentificarea pachetelor (AH), criptarea si/sau autentificarea pachetelor (ESP) si mecanisme pentru stabilirea parametrilor conexiunilor (SA-Security Associations) folosind IKE.

IPSec foloseste un algoritm pentru schimbarea cheilor între parti, numit Internet Key Exchange (IKE), care permite calculatoarelor sa negocieze o cheie de sesiune în mod securizat, folosind protocoalele ISAKMP pentru crearea de Security Associations si OAKLEY bazat pe algoritmul Diffie-Hellman pentru schimbarea cheilor între cele doua parti. IKE se poate folosi în conjunctie cu Kerberos, certificate X.509v3 sau chei preshared.

Authentication Header (AH) este atasat fiecarei datagrame si contine semnatura sub forma de hash HMAC cu MD5 sau HMAC cu SHA-1.

Encapsulated Security Payload (ESP) cripteaza continutul pachetelor în doua moduri: transport (protejeaza doar continutul pachetului, nu si header-ul) sau tunel (întreg pachetul este criptat). ESP foloseste de asemenea hash-uri HMAC cu MD5 sau HMAC cu SHA-1 pentru autentificare si DES-CBC pentru criptare.

Pentru a securiza comunicatia în retea cu IPSec între calculatoarele Windows folosim o colectie de reguli, politici si filtre pentru a permite în mod selectiv doar comunicatia pentru anumite protocoale.

Politicile de IPSec pot fi create si aplicate cu Group Policy pentru calculatoarele din domeniu. Pentru calculatoare care nu sunt în domeniu, de exemplu serverele bastion, politicile pot fi aplicate cu script-uri linie de comanda.

Regulile de baza pentru securizarea traficului cu IPSec

• Crearea unei harti a traficului în retea ce include traficul care trebuie permis sau blocat, punctele sursa destinatie si informatiile despre protocoalele folosite.
• Se creaza filtre care corespund traficului de retea identificat anterior
Câteva recomandari
• Windows Server 2003 include un filtru generic block all, care face exact ce îi spune numele. Într-o retea uzuala trebuie însa sa permitem cel putin traficul de Kerberos, LDAP si DNS. Plus eventual alte protocoale: DHCP, WINS, RPC, HTTP etc.
• Fiti pregatiti pentru nefunctionarea comunicatiei în retea dupa aplicarea filtrelor IPSec. De obicei, într-o retea sunt foarte multe protocoale si porturi care trebuie securizate.
• IPSec nu face diferenta între traficul generat de aplicatii diferite, daca acestea folosesc acelasi port.
• Folositi IPSec pentru a securiza traficul care parcurge retele publice, sau segmente cu potential de interceptare a comunicatiei. Nu este în general util a securiza întreg traficul în interiorul întregii retele a companiei, decât pentru retele cu grad mare de securitate.

Sursa : Microsoft

Citeaza articolul pe site-ul tau | Vizualizari: 4611 | Imprimare | E-mail

Comenteaza articolul

Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved

Recomanda acest articol..

Alte articole interesante:

• Microsoft nu va activa implicit protectia maxima a firewall-ului din V
• Software Gratis Pentru Computer
• Karspersky si Symantec criticate pentru ca ascund fisiere
• Top 10 virusi in semestrul I 2005
• Reguli antispyware propuse de consortiu de securitate
• Skype, un potential mediu de transport pentru mesajele de declansare a
• Mozilla updateaza Firefox-ul
• Patch-uri Oracle pentru 37 de vulnerabilitati
• Grisoft AVG Anti-Virus 7.5 si AVG Anti-Virus Free Edition pentru Vista
• Un filtru anti-phishing mai bun pentru IE7