Rabu, 12 Oktober 2011

Kebijakan IPSec Lanjutan


Sebelum peluncuran Windows 2000, penggunaan Keamanan IP (IPSec biasa disingkat) pada sistem Windows selalu diperlukan pihak ketiga VPN (virtual private networking) perangkat lunak.

Paket-paket ini sering sulit untuk menginstal, memperkenalkan driver jaringan khusus yang bisa mengganggu tingkat rendah driver jaringan. Ditujukan untuk akses remote user, sistem biasanya memiliki skema otentikasi milik mereka sendiri dan antarmuka pengguna, yang disajikan. Tantangan dukungan. Singkatnya, sementara IPSec sebagai sebuah konsep sangat selera untuk administrator jaringan, biaya yang realistis yang tersedia implementasi IPSec Windows membatasi tingkat penyebaran nya.

Insinyur jaringan banyak yang mengalami pendarahan teknologi-tepi dari Windows solusi IPSec yang tersisa dengan rasa asam di mulut mereka. Menyebarkan teknologi VPN untuk akses jarak jauh pada Windows 9x dan NT 4.0 sistem operasi adalah menantang, dan ada sering jaringan-tingkat rintangan melewati lalu lintas yang melibatkan IPSec. Pada waktu Windows 2000 dirilis, sebagian besar organisasi telah menetap di sebuah solusi akses remote, dan fasilitas IPSec pergi sebagian besar belum terjamah. Hal ini sangat disayangkan. Dimasukkannya kebijakan IPSec pada Windows 2000 dan di atas telah sangat memperluas aplikasi praktis dari IPSec. Pelaksanaannya sebagai kebijakan sistem, sepenuhnya kompatibel dengan manajemen kebijakan kelompok dibahas dalam Bab 10, memungkinkan administrator domain untuk menyebarkan internal yang IPSec solusi dengan mudah. Namun, keanggotaan domain adalah bukan prasyarat, dan IPSec dapat dengan mudah digunakan dalam setiap lingkungan terdiri dari host yang menjalankan Windows 2000 dan atas.


 IP TINJAUAN KEAMANAN

Sebelum kita membahas pelaksanaan Windows, mari kita secara singkat membahas apa Keamanan IP tidak dan bagaimana cara kerjanya. Terutama didefinisikan dalam Internet Engineering Task Force RFC 2401 (http://www.ietf.org/rfc/rfc2401.txt), IPSec adalah protokol yang dirancang untuk menyediakan solusi yang jelas dan didukung untuk masalah integritas data dan kerahasiaan pada jaringan publik. Banyak protokol otentikasi yang lebih baik dan menerapkan opsi keamanan, tetapi penulis dari spesifikasi IPSec, menyadari bahwa fasilitas lapisan IP keamanan dapat menyediakan metode untuk mengamankan semua protokol, tidak peduli bagaimana dasar. Jika Anda ingat lapisan model OSI, protokol IP beroperasi pada lapisan jaringan, lapisan transport di bawah. Dengan ini (dalam transaksi outbound), semua user-dipengaruhi data telah dikompilasi ke frame data, sehingga menerapkan keamanan pada tingkat ini mencakup semua. Padamenerima sisi, pada saat data dikirimkan ke lapisan transport, tidak ada bukti aktivitas lapisan jaringan, sehingga protokol transport terus berfungsi sebagai mereka selalu miliki.
IPSec dapat beroperasi dalam berbagai mode, menyediakan layanan yang berbeda tergantung pada persyaratan aplikasi. Paling signifikan, IPSec dapat beroperasi pada lalu lintas melewati antara dua sistem dalam mode dikenal sebagai modus transportasi, atau dapat dikonfigurasi untuk membuat sambungan jaringan yang aman antara dua perangkat yang lainnya bisa lewat sistem jaringan lalu lintas melalui, dikenal sebagai modus terowongan. Kami akan berkonsentrasi diskusi kita pada mantan, meskipun yang paling spesifik berlaku untuk kedua pilihan.

Dalam modus kedua, IPSec mendukung dua protokol terpisah untuk data mengamankan, AH (Authentication Header) dan ESP (Encapsulating Security Payload). AH menyediakan integritas data dan otentikasi sumber dengan menandatangani seluruh paket, sedangkan ESP dapat menyediakan enkripsi dan / atau jasa integritas tetapi beroperasi hanya pada muatan paket. Sebagai tujuan dari rencana data yang paling keamanan untuk melindungi informasi sensitif dari yang ditangkap dari kawat, ESP cenderung menjadi lebih populer protokol IPSec untuk kemampuan enkripsi. AH bukan tanpa tujuan, namun. Misalnya, volume tinggi pusat data pengolahan mungkin lebih peduli bahwa menerima permintaan dari sumber valid dan belum dirusak dengan dari apakah atau tidak orang lain telah melihat data. 
Fasilitas penting terakhir dalam IPSec berkaitan dengan bagaimana sebuah sesi aman didirikan. Dalam rangka untuk AH dan ESP untuk memberikan layanan mereka, kedua perangkat yang terlibat dalam transfer perlu menyepakati kunci yang sama dan setiap pilihan enkripsi atau integritas untuk digunakan. Ini fase dari koneksi IPSec ini biasanya ditangani oleh protokol (Internet Key Exchange) IKE. IKE menangani negosiasi integritas data dan kerahasiaan pilihan dan pembentukan kunci untuk mendukung mereka, dan menciptakan seperangkat asosiasi keamanan. Asosiasi keamanan mendefinisikan satu-arah transmisi karakteristik, sehingga untuk setiap protokol (AH dan / atau ESP), akan ada asosiasi keamanan dua, satu di setiap host. Setelah didirikan, ini asosiasi keamanan mendefinisikan properti untuk semua komunikasi antara kedua perangkat. Jika perangkat tidak mampu untuk menyepakati sebuah kunci kriptografi yang umum digunakan untuk menandatangani atau mengenkripsi, koneksi akan gagal. Ini kontrol atas negosiasi kunci menyediakan fasilitas otentikasi IPSec. Pada Windows, kita dapat mengkonfigurasi salah satu dari tiga kontrol untuk pertukaran kunci untuk membangun otentikasi ini, mulai dari teknik berbagi rahasia sederhana untuk memungkinkan Pusat Kerberos Key Distribution untuk menentukan kunci.
  
BEKERJA DENGAN KEBIJAKAN IPSEC

Konfigurasi Windows IPSec adalah sangat fleksibel, seperti yang akan kita lihat dalam beberapa halaman berikutnya. Untuk membantu administrator mendapatkan IPSec dan berjalan cepat, Microsoft menyediakan satu set standar kebijakan yang memberikan tiga tingkat perlindungan yang berbeda dan dapat diterapkan dengan sedikit usaha. Bab 12: Kebijakan Keamanan IP 185 Bekerja dengan Kebijakan IPSec 186 Bagian IV: Windows Keamanan Peralatan Kita akan mulai pembahasan kita dengan default, dan kemudian menyelidiki kekuatan sebenarnya dari kebijakan IPSec dengan beberapa penciptaan kebijakan lanjutan. Akhirnya, kami akan menunjukkan lain digunakan untuk Windows IPSec dan membuat kebijakan yang tidak ada otentikasi atau enkripsi, tetapi berfungsi semata-mata sebagai filter paket.
  
Kebijakan standar: Cepat dan Mudah

Kebijakan default Windows adalah sebagai berikut:■ Klien (Menanggapi Hanya) Kebijakan ini mengkonfigurasi sistem untuk berkomunikasi secara normal dengan semua perangkat, namun memungkinkan penggunaan IPSec dengan server yang meminta untuk melakukannya.■ Server (Keamanan Request) Kebijakan ini mengkonfigurasi sistem untuk selalu mencoba untuk bernegosiasi IPSec dengan sistem, tetapi izin koneksi tanpa jaminan jika negosiasi gagal. Kebijakan default menggunakan trust Kerberos untuk mengotentikasi hosts danmemberikan kunci sesi.■ Secure Server (Membutuhkan Keamanan) Dengan kebijakan ini diterapkan, sistem akan meminta keamanan untuk komunikasi dan akan menolak koneksi yang tidak berhasil bernegosiasi IPSec. Kebijakan ini menggunakan Kerberos. Jadi Anda tidak berpikir bahwa Windows IPSec dapat dikonfigurasi dengan cepat dan mudah? Mari kita mulai diskusi kita dengan contoh jalur cepat. Kami akan menerapkan kebijakan default pada dua host dan melihat seberapa cepat kita bisa membuat mereka berbicara dengan aman. Lima Menit-IPSec Kebijakan










Referensi
nama pengarang "Michael O'dea"
judul buku "Windows security portable"

0 comments:

Posting Komentar

Diberdayakan oleh Blogger.