Comprendre IPSec

Les principaux éléments de IPSec sont:

Authentication; protège le réseau privé et le secteur privé des données qu'il contient. IPSec sécurise les données privées de man-in-the-middle attaques de pirates tentent d'accéder au réseau, et un attaquant de modifier le contenu des paquets de données.
Encryption; cache le contenu des paquets de données de sorte qu'il ne peut pas être interprété par des tiers non autorisés.

IPSec peut être utilisé pour fournir des capacités de filtrage de paquets. Il peut également authentifier le trafic entre deux hôtes et de crypter le trafic écoulé entre les hôtes. IPSec peut être utilisé pour créer un réseau privé virtuel (VPN). IPSec peut également être utilisé pour permettre la communication entre les bureaux distants et les clients d'accès distant via Internet.

IPSec fonctionne à la couche réseau de fournir de bout en bout de cryptage. Cela signifie que les données sont cryptées à la source de l'envoi des données. Tous les systèmes intermédiaires de faire partie de l'cryptée les paquets de charge utile. Les systèmes intermédiaires tels que les routeurs se borne à transmettre le paquet vers sa destination finale. Les systèmes intermédiaires ne sont pas déchiffrer les données cryptées. Les données cryptées sont décryptés seulement quand il arrive à la destination.

IPSec interfaces avec le protocole TCP / UDP couche de transport et de la couche Internet, et appliquées de manière transparente aux applications. IPSec est transparent pour les utilisateurs aussi. Cela signifie que la sécurité IPSec peut fournir pour la plupart des protocoles dans le protocole TCP / IP suite. Quand il s'agit d'applications, toutes les applications qui utilisent le protocole TCP / IP peuvent profiter des fonctionnalités de sécurité de IPSec. Vous n'avez pas à configurer la sécurité pour chacune des TCP / IP application. En utilisant des règles et des filtres, IPSec peut recevoir le trafic réseau et de sélectionner les protocoles de sécurité, déterminer les algorithmes à utiliser, et peuvent appliquer des clés cryptographiques requis par l'un quelconque des services.

Les fonctionnalités de sécurité et des capacités de IPSec peut être utilisé pour sécuriser le réseau privé de données confidentielles et privées de la suite

Denial-of-Service (DoS) attaque
Vol de données.
Corruption des données.
Le vol d'identification de l'utilisateur

Dans Windows Server 2003, IPSec utilise l'Authentication Header (AH) de protocole et Encapsulating Security Payload (ESP) de protocole de sécurité pour fournir des données sur:

Les ordinateurs clients
Les serveurs de domaine
Groupes de travail d'entreprise
Local area networks (LANs)
Wide area networks (WAN)
Bureaux distants

Les fonctions de sécurité et les fonctionnalités offertes par IPSec sont résumées ci-dessous:

Authentification d'une signature numérique est utilisée pour vérifier l'identité de l'expéditeur de l'information. IPSec peut utiliser Kerberos, une clé, ou de certificats numériques pour l'authentification.
L'intégrité des données, un algorithme de hachage est utilisée pour s'assurer que les données ne sont pas altérés. Un contrôle de hachage appelé code d'authentification de message (HMAC) est calculé pour les données du paquet. Quand un paquet est modifié en transit, le HMAC calculé changements. Ce changement sera détecté par l'ordinateur.
La confidentialité des données, algorithmes de chiffrement sont utilisés pour s'assurer que la transmission de données est indéchiffrable.
Anti-replay; empêche un attaquant de renvoyer des paquets dans une tentative d'accès au réseau privé.
Non répudiation, la clé publique de signatures numériques sont utilisées pour prouver message origine.
Dynamic Rekeying; touches peuvent être créés lors de l'envoi de données à protéger les secteurs de la communication avec les différentes touches.
La génération de clés, les clés Diffie-Hellman accord algorithme est utilisé pour permettre à deux ordinateurs d'échanger une clé de chiffrement.
Filtrage de paquets IP, la capacité de filtrage de paquets IPSec peut être utilisé pour filtrer et bloquer des types spécifiques de trafic, sur la base d'une ou l'autre des éléments ci-après ou sur une combinaison de celles-ci:

Les adresses IP
Protocoles
Ports

Quelle nouvelle dans Windows Server 2003 IPSec

Un peu de nouvelles fonctionnalités IPSec ont été inclus dans Windows Server 2003, avec des améliorations à certaines fonctionnalités IPSec qui existait dans les précédents systèmes d'exploitation Windows:

Windows Server 2003 inclut le nouveau moniteur de sécurité IP outil qui est mis en œuvre comme un composant logiciel enfichable MMC. Le Moniteur de sécurité IP fournit des outils améliorés de surveillance de la sécurité IPSec. Avec l'outil Moniteur de sécurité IP, vous pouvez effectuer les activités administratives suivantes:

Personnaliser le Moniteur de sécurité IP affiche
Moniteur IPSec des informations sur l'ordinateur local.
Moniteur IPSec des informations sur les ordinateurs distants.
Voir les statistiques IPSec.
Voir les renseignements sur les stratégies IPSec
Voir les associations de sécurité des informations.
Voir les filtres génériques
Voir les filtres spécifiques
Recherche pour des filtres basés sur l'adresse IP

Vous pouvez configurer IPSec à l'aide du Netsh utilitaire de ligne de commande. Le netsh utilitaire de ligne de commande remplace les anciens Ipsecpol.exe utilitaire de ligne de commande.

IPSec prend en charge le nouveau Jeu de stratégie résultant (RSoP) fonctionnalité de Windows Server 2003. La résultante de politiques (RSoP) calculateur peut être utilisé pour déterminer les politiques qui ont été appliquées à un utilisateur ou un ordinateur. Jeu de stratégie résultant (RSoP) sommes tous des politiques de groupe qui sont appliqués à un utilisateur et ordinateur dans un domaine. Cela comprend tous les filtres et les exceptions. Vous pouvez utiliser la fonction par l'intermédiaire du Jeu de stratégie résultant (RSoP) Assistant ou de la ligne de commande pour afficher la stratégie IPSec est appliquée.

IPSec intégration avec Active Directory vous permet de centraliser la gestion de politiques de sécurité.

L'authentification Kerberos 5 est la méthode d'authentification par défaut utilisé par IPSec politiques visant à vérifier l'identité de l'ordinateur.

IPSec est rétro-compatible avec le Windows 2000 Security Framework.

Si une politique locale ou d'Active Directory sur les politiques ne peuvent pas être appliquées à un ordinateur, vous avez maintenant la possibilité de créer une politique persistante de l'ordinateur. Les caractéristiques de la persistance de politiques sont les suivants:

Persistants, les politiques ne peuvent être configurés par l'intermédiaire du Netsh utilitaire de ligne de commande.
Persistants, les politiques sont toujours positives.
La persistance de politiques ne peut pas être remplacé.

Dans Windows Server 2003 IPSec déploiements, seuls IKE (Internet Key Exchange) est exonérée de trafic IPSec. Auparavant, la réservation de ressources Protocol (RSVP) la circulation, le trafic Kerberos, IKE et le trafic a été exempté de IPSec.

IPSec dans Windows Server 2003 inclut la prise en charge pour le groupe 3 2048 bits Diffie-Hellman et l'échange de clés. Le groupe touche 3 est beaucoup plus forte et plus complexe que le précédent groupe 2 1024 bits Diffie-Hellman et l'échange de clés. Si toutefois vous avez besoin de compatibilité avec Windows 2000 et Windows XP, vous devez alors utiliser le groupe 2, 1024 bits Diffie-Hellman et l'échange de clés.

IPSec ESP paquets peuvent passer au-dessus de la traduction d'adresses réseau

Authentication Header (AH): C'est l'un des principaux protocoles de sécurité utilisé par IPSec. AH assure l'authentification et l'intégrité des données, et peuvent donc être utilisés sur ses propres lorsque l'intégrité des données et l'authentification sont des facteurs pertinents et de la confidentialité ne l'est pas. C'est parce que AH ne prévoit pas de cryptage, et ne peuvent donc pas fournir la confidentialité des données. Authentication Header (AH) et Encapsulating Security Payload (ESP) sont les principaux protocoles de sécurité utilisés dans IPSec. Ces protocoles de sécurité et peuvent être utilisés séparément ou ensemble.
Encapsulating Security Payload (ESP): C'est l'un des principaux protocoles de sécurité utilisé par IPSec. ESP assure la confidentialité des données par cryptage, l'intégrité des données, des données d'authentification, et d'autres caractéristiques que le soutien en option anti-replay services. Pour assurer la confidentialité des données, un certain nombre d'algorithmes de chiffrement symétriques sont utilisés.
Autorités de certification (AC): Il s'agit d'une entité qui génère et valide les certificats numériques. Le CA ajoute sa signature à la clef publique du client. CA de délivrer et de retirer des certificats numériques.
Diffie-Hellman groupes Diffie-Hellman Key accord permet à deux ordinateurs afin de créer une clé privée qui authentifie les données et crypte un datagramme IP. Les différents groupes Diffie-Hellman sont énumérés ici:

Groupe 1, fournit 768-bits de force
Groupe 2, 1024-bit apporte des atouts majeurs
Groupe 3, 2048-bit apporte des atouts majeurs

Internet Key Exchange (IKE): Le protocole IKE est utilisé par les ordinateurs pour créer une association de sécurité (SA) et d'échanger des informations afin de générer des clés de Diffie-Hellman. IKE gestion des clés cryptographiques et les échanges afin que les ordinateurs peuvent avoir en commun un ensemble de paramètres de sécurité. La négociation qui a lieu sur la méthode d'authentification et un algorithme de chiffrement et de l'algorithme de hachage utilisation des ordinateurs.
IPSec Driver: IPSec Le pilote effectue un certain nombre d'opérations pour assurer la sécurité des réseaux de communication, y compris les suivantes:

Crée paquets IPSec
Génère de contrôle.
Initie la communication IKE
Ajoute les têtes AH et ESP
Crypte les données avant leur transmission.
Calcule hashes et de contrôle pour les paquets.

Stratégies IPSec: IPSec politiques définir quand et comment les données doivent être garantis, et définit les méthodes de sécurité à utiliser pour la sécurisation des données. IPSec politiques d'un certain nombre d'éléments:

Actions.
Règles
Des listes de filtres
Les actions de filtrage.

IPSec Policy Agent: Il s'agit d'un service fonctionnant sur un ordinateur exécutant Windows Server 2003 qui accède à l'information sur la politique IPSec. L'Agent de stratégie IPSec IPSec accède à la politique d'information que ce soit dans le registre de Windows ou dans Active Directory.
Oakley clé de détermination de protocole: l'algorithme de Diffie-Hellman est utilisé pour les deux entités authentifiées à négocier et à être d'accord sur une clé secrète.
Security Association (SA): Une SA est une relation entre les dispositifs qui définissent la manière dont ils utilisent les services de sécurité et les paramètres.
Triple Data Encryption (3DES): C'est un algorithme de cryptage utilisé sur les machines clientes exécutant Windows et Windows Server 2003. 3DES utilise 56 bits pour le chiffrement.

Comprendre comment IPSec Works

Une association de sécurité (SA) doit d'abord être établies entre les deux ordinateurs avant que les données peuvent être transmises en sécurité entre les ordinateurs. UN Security Association (SA) est une relation entre les dispositifs qui définissent la manière dont ils utilisent les services de sécurité et les paramètres. La SA fournit les informations nécessaires à deux ordinateurs de communiquer de manière sécurisée. Internet Security Association and Key Management Protocol (ISAKMP) et le protocole IKE sont le mécanisme qui permet à deux ordinateurs d'établir des associations de sécurité. Quand une société est établie entre deux ordinateurs, les ordinateurs sur lesquels négocier les paramètres de sécurité à utiliser pour sécuriser les données. Une des clés de sécurité sont échangées et utilisées pour permettre aux ordinateurs de communiquer de manière sécurisée.

L'association de sécurité (SA), contient le texte suivant:

L'accord sur la politique qui dicte que les algorithmes et longueurs de clé les deux ordinateurs à utiliser pour la sécurisation des données.
Les clés de sécurité utilisées pour garantir la communication de données.
Les paramètres de sécurité Index (SPI).

Avec IPSec, deux sociétés de surveillance sont établis pour chaque sens de communication des données:

One SA sécurise le trafic entrant.
One SA sécurise le trafic sortant.

En outre, il existe une unique SA pour chaque protocole de sécurité IPSec. Il existe donc deux types de sociétés de surveillance:

ISAKMP SA: Lorsque la circulation est deux IPSec directionnel et doit établir une connexion entre les ordinateurs, une SA ISAKMP est établi. La SA ISAKMP définit et gère les paramètres de sécurité entre les deux ordinateurs. Les deux ordinateurs d'accord sur un certain nombre d'éléments pour établir l'ISAKMP SA:

Déterminer les connexions qui doivent être authentifiés.
Déterminer l'algorithme de chiffrement à utiliser.
Déterminer l'algorithme afin de vérifier l'intégrité du message.

Après les éléments ci-dessus ont été négociés entre les deux ordinateurs, les ordinateurs utilisent le protocole Oakley à s'entendre sur la clé principale ISAKMP. C'est le maître des clés qui sera utilisé avec les éléments ci-dessus pour permettre la sécurisation des données de communication.

Après avoir obtenu un canal de communication est établie entre les deux ordinateurs, les ordinateurs commencent à négocier les éléments suivants:

Déterminer si l'Authentication Header (AH) protocole IPSec doit être utilisé pour la connexion.
Déterminer le protocole d'authentification, qui devrait être utilisé avec le protocole AH pour la connexion.
Déterminez si le Encapsulating Security Payload (ESP) protocole IPSec doit être utilisé pour la connexion.
Déterminer l'algorithme de chiffrement qui doit être utilisé avec le protocole ESP pour la connexion.

IPSec SA: IPSec SA se rapportent à la tunnel IPSec et de paquets IP, et de définir les paramètres de sécurité à utiliser lors d'une connexion. Le IPSec SA est issue de ces quatre éléments seulement négocié entre les deux ordinateurs.

Pour assurer et protéger les données, IPSec utilise la cryptographie à fournir les fonctionnalités suivantes:

Authentification: l'authentification traite de la vérification de l'identité de l'ordinateur, l'envoi des données, ou l'identité de l'ordinateur recevant les données. Les méthodes qui IPSec peut utiliser pour l'authentification de l'expéditeur ou le destinataire des données sont les suivantes:

Les certificats numériques: Fournit la plus sûre de l'authentification des identités. Autorités de certification (AC) tel que Netscape, Entrust, VeriSign, et Microsoft de fournir des certificats qui peuvent être utilisés à des fins d'authentification.
L'authentification Kerberos: Une baisse de l'utilisation du protocole d'authentification Kerberos v5 est que l'identité de l'ordinateur reste clair au point que l'ensemble de la charge utile est cryptée à l'authentification.
Pre-shared keys, devrait être utilisée si aucune des anciennes méthodes d'authentification peut être utilisé.

Anti-replay en sorte que les données d'authentification ne peut être interprété comme il est envoyé sur le réseau. En plus de l'authentification, IPSec peut fournir non répudiation. Avec non répudiation, l'expéditeur des données ne peut pas à un stade ultérieur, en fait refuser l'envoi de données.

L'intégrité des données: traite de l'intégrité des données en veillant à ce que les données reçues à la bénéficiaire n'a pas été altéré. Un algorithme de hachage est utilisée pour s'assurer que les données ne sont pas modifiés comme il est passé sur le réseau. Les algorithmes de hachage qui peut être utilisé par IPSec sont:

Message Digest (MD5), un hachage à sens unique que les résultats dans un 128-bit de hachage qui est utilisé pour le contrôle d'intégrité.
Secure Hash Algorithm 1 (SHA1), un 160-bit de clé secrète pour générer un 160-bit message qui donne plus de sécurité que MD5.

La confidentialité des données: IPSec assure la confidentialité des données en appliquant des algorithmes de chiffrement des données avant de les envoyer sur le réseau. Si les données sont interceptées, le chiffrement assure que l'intrus ne peut pas interpréter les données. Pour assurer la confidentialité des données, IPSec peut utiliser soit des algorithmes de chiffrement suivants:

Data Encryption Standard (DES), l'algorithme de cryptage utilisé par défaut dans Windows Server 2003 qui utilise le cryptage 56-bit.
Triple DEC (3DES), les données sont cryptées avec une clé, décryptées avec une autre clé, et crypté avec une clé différente.
40-bit DES, l'algorithme de chiffrement moins sûr.

Comprendre les modes IPSec

IPSec peut fonctionner dans l'un des modes suivants:

Tunnel mode: le mode tunnel IPSec peut être utilisé pour assurer la sécurité des connexions WAN et VPN qui utilisent l'Internet comme moyen de connexion. En mode tunnel, IPSec crypte l'entête IP et la charge utile IP. Avec le tunneling, les données contenues dans un paquet est encapsulé dans un paquet supplémentaire. Le nouveau paquet est ensuite envoyé sur le réseau.

Tunnel mode est généralement utilisé pour les configurations suivantes:

Serveur à serveur
Serveur de passerelle
Porte d'entrée de la passerelle

Le processus de communication qui se produit lorsque le mode tunnel est défini comme le mode IPSec est détaillé ci-dessous:

Les données sont transmises en utilisant des datagrammes IP sans protection à partir d'un ordinateur sur le réseau privé.
Lorsque les paquets arrivent sur le routeur, le routeur encapsule les paquets en utilisant les protocoles de sécurité IPSec.
Le routeur transmet ensuite les paquets vers le routeur à l'autre bout de la connexion.
Ce routeur vérifie l'intégrité du paquet.
Le paquet est décrypté.
Les données du paquet est alors ajoutée à des datagrammes IP non protégés et transmis à l'ordinateur de destination sur le réseau privé.

Mode de transport: Il s'agit du mode de fonctionnement par défaut utilisé par IPSec, dans lequel seules les IP charge utile est cryptée par le biais du protocole AH ou ESP protocole. Mode de transport est utilisé pour de bout en bout la sécurité des communications entre deux ordinateurs sur le réseau.

Composants IPSec

Les deux principaux composants installés lorsque IPSec sont déployés sont:

IPSec Policy Agent: Il s'agit d'un service fonctionnant sur un ordinateur exécutant Windows Server 2003 qui accède à l'information sur la politique IPSec. L'Agent de stratégie IPSec IPSec accède à la politique d'information que ce soit dans le registre de Windows ou dans Active Directory. Les principales fonctions que l'agent de stratégie IPSec fournit sont énumérés ci-dessous:

L'Agent de stratégie IPSec fournit des informations à l'IPSec conducteur.
L'Agent de stratégie IPSec IPSec accède à l'information sur les politiques locales de l'enregistrement de Windows lorsque l'ordinateur n'appartient pas à un domaine.
L'Agent de stratégie IPSec IPSec accède à l'information sur les politiques de l'Active Directory lorsque l'ordinateur est membre d'un domaine.
Le protocole IPSec IPSec Policy Agent scanne les politiques de modifications de configuration.

Pilote IPSec: IPSec Le conducteur d'un certain nombre d'opérations pour assurer la sécurité des réseaux de communication, y compris les suivantes:

Crée paquets IPSec
Génère de contrôle.
Initie la communication IKE
Ajoute les têtes AH et ESP
Crypte les données avant leur transmission.
Calcule hashes et de contrôle pour les paquets

Comprendre les protocoles IPSec

Comme mentionné précédemment, les principaux protocoles de sécurité IPSec sont les Authentication Header (AH) et Encapsulating Security Payload (ESP) protocoles. Il existe d'autres protocoles comme IPSec ISAKMP, IKE, Oakley et qui utilisent les algorithme de Diffie-Hellman.

Authentication Header (AH) Protocole

Le protocole AH assure les services de sécurité pour sécuriser les données:

Authentification
Anti-replay
L'intégrité des données

Le protocole AH assure que les données ne sont pas modifiés comme il se déplace sur le réseau. Il veille également à ce que les données proviennent de l'expéditeur.

Le protocole AH ne pas fournir si la confidentialité des données, car il ne fait pas de chiffrer les données contenues dans les paquets IP. Cela signifie que, si l'AH est un protocole utilisé par elle-même; intrus qui sont en mesure de saisir les données seraient en mesure de lire les données. Ils ne voulaient pas être bien en mesure de changer les données. AH Le protocole peut être utilisé en combinaison avec le protocole ESP si vous avez besoin pour assurer la confidentialité des données aussi bien.

Le processus de communication qui se produit lorsque l'AH est un protocole utilisé est montré ici:

Un ordinateur transmet les données à un autre ordinateur.
La tête IP, AH-tête, et les données elle-même est signé pour garantir l'intégrité des données.
Le AH-tête est inséré entre l'entête IP et IP charge de fournir une authentification et d'intégrité.

Les champs à l'intérieur d'un AH-tête, ainsi que le rôle joué par chaque champ est indiqué ici:

Suivant tête, permet de spécifier le type de charge utile de la propriété intellectuelle par le biais du protocole IP ID qui existe après cette AH-tête.
Longueur; indique la longueur de la tête AH.
Paramètres de sécurité Index (SPI), indique la bonne association de sécurité pour la communication par le biais d'une combinaison des éléments suivants:

Protocole de sécurité IPSec.
Adresse IP de destination

Numéro de séquence, utilisé pour fournir IPSec protection anti-replay pour la communication. Le numéro de séquence débute à 1 et est incrémenté de 1 pour chaque paquet ensuite. Les paquets qui ont le même numéro de séquence et d'association de sécurité sont rejetées.
L'authentification de données; assure la valeur de contrôle d'intégrité (ICV) calculé par l'ordinateur émetteur de fournir des données d'intégrité et d'authentification. L'ordinateur calcule l'ICV sur l'entête IP, AH-tête IP et la charge utile, puis compare les deux valeurs ICV.

Encapsulating Security Payload (ESP) protocol

Le protocole ESP assure les services de sécurité pour sécuriser les données:

Authentification
Anti-replay
L'intégrité des données
La confidentialité des données

La principale différence entre le protocole AH et ESP le protocole est que le protocole ESP fournit tous les services de sécurité fournis par le protocole AH, avec la confidentialité des données par cryptage. ESP peut être utilisé sur ses propres, et il peut être utilisé avec le protocole AH. En mode de transport, de l'ESP uniquement les signaux de protocole et protège la propriété intellectuelle de charge utile. L'entête IP n'est pas protégée. Si l'ESP est un protocole utilisé conjointement avec le protocole AH, puis l'ensemble du paquet est signé.

ESP ESP insère une tête et ESP remorque, qui renferme l'essentiel de la charge utile du datagramme IP. Toutes les données après l'ESP à la tête de l'ESP remorque, et de la remorque ESP est cryptée.

Les domaines dans le cadre d'une ESP-tête, avec le rôle joué par chacun de ces domaines sont énumérés ici:

Paramètres de sécurité Index (SPI), indique la bonne association de sécurité pour la communication par le biais d'une combinaison des éléments suivants:

Protocole de sécurité IPSec.
Adresse IP de destination

Numéro de séquence, utilisé pour fournir IPSec protection anti-replay pour la communication. Le numéro de séquence débute à 1 et est incrémenté de 1 pour chaque paquet ensuite. Les paquets qui ont le même numéro de séquence et d'association de sécurité sont rejetées.

Les champs d'ESP dans le cadre d'une remorque, ainsi que le rôle joué par chacun de ces domaines sont énumérés ici:

Padding; exigé par l'algorithme de chiffrement de veiller à ce que les limites d'octets sont présents.
Longueur de rembourrage; indique la longueur (en octets) du rembourrage qui a été utilisé dans le domaine de rembourrage.
Suivant tête, permet de spécifier le type de charge utile de la propriété intellectuelle par le biais du protocole IP ID.
L'authentification de données; assure la valeur de contrôle d'intégrité (ICV) calculé par l'ordinateur émetteur de fournir des données d'intégrité et d'authentification. L'ordinateur calcule l'ICV sur l'entête IP, AH-tête IP et la charge utile, puis compare les deux valeurs ICV.

Comprendre les filtres de sécurité IPSec, les méthodes de sécurité, et les politiques de sécurité

Les filtres de sécurité des protocoles de sécurité correspondent essentiellement à une adresse réseau. Filtres IPSec peut être utilisé pour filtrer le trafic non autorisé. Le filtre contient les informations suivantes:

Source et adresse IP de destination
Protocole utilisé
Source et destination des ports

Chaque adresse IP contient un ID de réseau et d'une portion d'accueil ID partie. Grâce à des filtres de sécurité, vous pouvez filtrer le trafic en fonction des éléments suivants:

Circulation autorisée à passer à travers
Pour garantir la circulation
Pour bloquer la circulation

Les filtres de sécurité peuvent être regroupés en une liste de filtres. Il n'y a pas de limite au nombre de filtres qui peuvent être incluses dans une liste de filtres. Les stratégies IPSec utilise des filtres IP pour déterminer si une règle de sécurité IP doit être utilisé dans un paquet.

Vous pouvez utiliser une méthode de sécurité de préciser la manière dont une stratégie IPSec doit traiter avec le trafic correspondant à un filtre IP. Méthodes de sécurité sont également mentionnés comme les actions de filtrage. Les actions de filtrage résulte en une ou l'autre des événements suivants:

Drops trafic
Permet la circulation
Négocier la sécurité.

Pour appliquer la sécurité dans votre réseau, les stratégies IPSec sont utilisées. Les stratégies IPSec définir quand et comment les données doivent être sécurisées. Les stratégies IPSec également de déterminer quelles méthodes de sécurité à utiliser lors de sécurisation des données aux différents niveaux de votre réseau. Vous pouvez configurer des stratégies IPSec de sorte que différents types de trafic sont touchées par chaque politique.

Les stratégies IPSec peuvent être appliquées aux niveaux suivants dans un réseau:

Domaine Active Directory
Site Active Directory
L'unité d'organisation Active Directory
Ordinateurs
Applications

Les différentes composantes d'une stratégie IPSec sont énumérés ici:

Filtre IP, IPSec informe le pilote sur le type de trafic entrant et sortant du trafic qui devrait être garanti.

Liste de filtres IP, utilisé pour regrouper plusieurs IP de filtres dans une liste unique afin d'isoler un ensemble spécifique de trafic réseau.

Filtre action; utilisés pour définir la façon dont le pilote IPSec doit sécuriser le trafic.

Méthode de sécurité, se réfère aux types de sécurité et des algorithmes utilisés pour l'échange de clés et d'authentification.

Type de connexion: identifie le type de connexion dont la stratégie IPSec impacts.

Tunnel de l'établissement, le tunnel de l'extrémité adresse IP / Règle; un regroupement des éléments suivants pour obtenir un sous-ensemble spécifique de la circulation d'une manière particulière:

Bookmark Understanding IPSec