은 IPSec의 주요 기능은 다음과 같습니다 :
- 인증; 그리고 그것을 포함하는 개인 데이터는 개인 네트워크를 보호합니다. 이 IPSec -에서 - - 중간에 개입하는 공격, 공격자가 네트워크에 액세스하려고 시도에서, 공격자는 데이터 패킷의 내용을 변경 남자로부터 사적인 데이터를 보호해줍니다.
- 암호화; 그래서 그게 무단 당사자에 의해 해석되지 않을 수있는 데이터 패킷의 실제 내용을 은폐.
IPSec이 패킷 필터링 기능을 제공하는 데 사용하실 수있습니다. 그것도 두 개 사이에있는 호스트와 호스트 간의 트래픽을 암호화 트래픽 통과를 인증할 수있습니다. IPSec에 가상 개인 네트워크 (VPN)를 만드는 데 사용하실 수있습니다. IPSec을도 인터넷을 통해 원격 사무실 및 원격 액세스 클라이언트 사이의 커뮤니케이 션을 활성화하는 데 사용할 수있습니다.
IPSec이 네트워크 계층에서 - - 엔드 엔드 암호화를 제공하기 위해 운영하고있습니다. 이것은 기본적으로 원본 컴퓨터의 데이터 전송시 암호화는 데이터를 의미합니다. 중급 시스템의 페이로드로 모든 패킷의 암호화 부분을 처리하게됩니다. 라우터와 같은 중급 시스템은 단지 앞으로는 최종 목적지로 패킷. 중급 시스템은 암호화된 데이터를 해독하는하지 않습니다. 암호화된 데이터를 해독하는 경우에만 그것은 목적지에 도달합니다.
인터페이스에서 IPSec은 TCP / UDP를 전송 계층과 인터넷 계층, 그리고 투명하게 응용 프로그램에 적용됩니다. IPSec을뿐만 아니라 사용자에게 투명합니다. 이것은 기본적으로 해당 IPSec 프로토콜은 TCP 내에서 대부분의 보안을 제공할 수있습니다 / IP 프로토콜 제품군을 의미합니다. 응용 프로그램에 온다 때, 사용하는 모든 응용 프로그램의 TCP / IP에서 IPSec의 보안 기능을 즐길 수있습니다. 당신은 보안을 구성하는 각각의 특정 TCP에 대한 필요가없습니다 / IP를 기반으로 응용 프로그램을 만듭니다. 규칙과 필터를 사용하여 IPSec이 네트워크 트래픽을받을 수 있으며, 필요한 보안 프로토콜을 선택하는 데 사용하는 알고리즘을 결정, 그리고 암호화 키를 필요한 모든 서비스의 신청하실 수있습니다.
보안 기능과 IPSec의 기능은 다음에서 개인 네트워크 및 개인 기밀 데이터를 확보하는 데 사용될 수있습니다
- 거부 - - 서비스 (도스) 공격
- 데이터 좀도둑 질.
- 데이터 손상.
- 사용자 자격 증명의 도난
Windows Server 2003에서 IPSec 프로토콜 AH (인증 헤더)를 사용하고 보안 페이로드 (ESP) Encapsulating 프로토콜에 대한 데이터 보안을 제공하기 위해 :
- 클라이언트 컴퓨터
- 도메인 서버
- 기업의 워크그룹
- 로컬 영역 네트워크 (랜에)
- 광역 네트워크 (WANs)
- 원격 사무실
IPSec에 의해 제공되는 보안 기능 및 특징은 아래에 요약되어 :
- 인증, 디지털 서명 정보의 발신자의 신원을 확인하는 데 사용됩니다. 에서 IPSec은 Kerberos, 미리 공유한 키 또는 인증을위한 디지털 인증서를 사용할 수있습니다.
- 데이터 무결성, 해시 알고리즘을 보장하는 데 사용되는 데이터에 손을 댔다는하지 않습니다. 패킷의 데이터에 대한 체크섬을 계산합니다 해시 메시지 인증 코드 (HMAC)라고합니다. 패킷을 전송하는 동안에 수정할 때, HMAC 계산을 변경합니다. 이러한 변화는 수신 컴퓨터에 의해 감지됩니다.
- 데이터 개인 정보 보호, 암호화 알고리즘을 보장 전송되는 데이터를 활용하는 undecipherable이다.
-
안티 - 재경기; 시도가 사설 네트워크에 액세스하기 위해 패킷 resending에서 공격자 방지할 수있습니다.
- Nonrepudiation; 공개 키 디지털 서명 메시지 원산지 증명하는 데 사용됩니다.
- 동적 재생성 (rekeying; 키 데이터를 다른 열쇠와 함께 보내는 동안 의사 소통의 세그먼트를 보호하기 위해 만들 수있습니다.
- 키 생성하며 합의는 Diffie - 헬맨 핵심 알고리즘은 두 컴퓨터가 공유 암호화 키 교환을 활성화하는 데 사용됩니다.
- IP 패킷 필터링, 패킷 필터를하는 데 사용할 수있는 트래픽의 특정 유형은 다음 요소 중 하나 또는 이들의 조합에 따라 블록의 기능은 IPSec 필터링 :
무슨 새 Windows Server 2003에서 IPSec을
몇 가지 새로운 기능을 Windows Server 2003에서 IPSec을 함께 이전의 Windows 운영 체제에 존재하는 몇 가지 향상된 기능은 IPSec 기능이 포함되어있다 :
- Server 2003을하는 MMC 스냅인으로 구현되는 새로운 IP 보안 모니터 도구 -에 포함되어있습니다. IPSec 보안 모니터링 향상된 IP 보안 모니터 도구를 제공합니다. IP 보안 모니터 도구를 사용하면 다음의 행정 활동을 수행할 수있습니다 :
- 사용자 정의 IP 보안 모니터 디스플레이
- 로컬 컴퓨터에있는 모니터를 IPSec에 정보를 제공합니다.
- 원격 컴퓨터에 모니터를 IPSec에 정보를 제공합니다.
- IPSec 통계보기.
-
IPSec 정책에 대한 정보보기
- 보안 연결 정보를 볼 수있습니다.
- 일반적인 필터보기
- 특정 필터보기
- 특정 필터가 IP 주소를 기반으로 검색
- 당신은 IPSec은 netsh 명령 - 라인 유틸리티를 사용하여 구성할 수있습니다. netsh 명령 - 라인 유틸리티는 이전에 사용 Ipsecpol.exe를 명령 - 라인 유틸리티를 대체합니다.
- IPSec을 Windows Server 2003의 설정 정책 (RSoP는) 기능은 새로운 결과를 지원합니다. 정책의 결과 집합 (RSoP는) 계산기는 특정 사용자 또는 컴퓨터에 적용된 정책을 결정하는 데 사용하실 수있습니다. 정책의 결과 집합 (RSoP는)은 사용자와 컴퓨터에있는 모든 도메인에 적용된 그룹 정책을 요약한. 이 모든 필터와 예외를 포함하고있습니다. 당신은 정책 (RSoP는) 마법사 또는 명령 집합의 결과를 통해이 기능을 사용할 수있습니다 - 라인에 적용되는 IPSec 정책을 볼 수있습니다.
- IPSec을 Active Directory와 통합 보안 정책을 중앙에서 관리할 수있습니다.
- 기본 인증 방법은 Kerberos 5 인증 IPSec 정책에 의해 컴퓨터의 신원을 확인하는 데 사용됩니다.
- 이전 버전은 Windows 2000에서 IPSec 보안 프레임 워크와 호환됩니다.
-
경우 로컬 정책 또는 Active Directory 정책을 기반으로 한 컴퓨터로, 지금은 특정 컴퓨터에 대한 지속적인 정책을 만들 수있는 옵션이 적용되지 않을 수있습니다. 지속적인 정책의 특징은 위치 :
- 영구 정책은 netsh 명령 - 라인 유틸리티를 통해 구성할 수있습니다.
- 영구 정책은 항상 긍정있다.
- 영구 정책을 무효화할 수없습니다.
- Windows Server 2003에서 IPSec을 배포, 유일한 인터넷 키 교환 (IKE) 트래픽은 IPSec에서 면제됩니다. 이전에, 리소스 예약 프로토콜 (RSVP가) 트래픽, 트래픽은 Kerberos 및 IKE 트래픽은 IPSec에서 제외됐다.
- IPSec을 Windows Server 2003의 그룹 2048년 3월 - 비트는 Diffie - 헬맨 키 교환에 대한 지원을 포함하고있습니다. 이 그룹은 3 키를 훨씬 더 이전의 2 조 1024 - 비트는 Diffie - 헬맨 키 교환 복잡한보다 강력합니다. 그러나 만일 당신이 뒤로, 그때는 Diffie - 헬맨 키 교환 2 조 1024 - 비트를 사용해야 할 Windows 2000 및 Windows XP와의 호환성을해야합니다.
-
은 IPSec ESP 패킷은 네트워크 주소 변환 (NAT) AH (인증 헤더) : 이것은 하나의 주요 보안 프로토콜 IPSec에 의해 사용됩니다. 아, 그리고 데이터 인증 및 무결성을 제공한다 따라서 자체 데이터 무결성 및 인증 관련 요인과 기밀성을 때 사용 될 수있는 것이 아닙니다. 아 암호화를 제공하지 않기 때문에이, 따라서 데이터 기밀성을 제공하지 못할 수도있습니다. AH (인증 헤더)와 Encapsulating 보안 페이로드 (ESP)의 주요 보안 프로토콜은 IPSec에 사용됩니다. 이러한 보안 프로토콜과 별도로, 또는 함께 사용할 수있습니다.
- 캡슐 보안 페이로드 (ESP) : 이것은 하나의 주요 보안 프로토콜 IPSec에 의해 사용됩니다. ESP 암호화를 통해, 데이터 무결성, 데이터 인증, 및 선택적 안티 - 재생 서비스를 지원하는 다른 기능을 데이터 기밀성을 보장합니다. 데이터 기밀성, 대칭 암호화 알고리즘의 숫자를 확인하는 데 사용됩니다.
- 인증 기관 (CA는) :이 그 실체를 생성 및 디지털 인증서의 유효성을 확인합니다. 이 CA는 고객의 공개 키는 자신의 서명을 추가합니다. CA는 문제와 취소할 디지털 인증서.
- 는 Diffie - 헬맨 그룹 :는 Diffie - 헬맨 주요 계약은 두 컴퓨터가 공유 개인 키를 만들 수 있도록 인증 데이터와 IP 데이터를 암호화합니다. 다른 단체는 Diffie - 헬맨 여기에 나열되어있습니다 :
- 그룹 1; 768 - 비트 키 강도를 제공합니다
- 그룹 2; 1024 - 비트 키 강도를 제공합니다
- 그룹 3; 2048년 - 비트 키 강도를 제공합니다
-
인터넷 키 교환 (IKE) : 컴퓨터에서 IKE는 프로토콜과 보안 협회 (SA)에는 만들는 Diffie - 헬맨 키를 생성하기 위해 정보를 교환하는 데 사용됩니다. IKE는 암호화 키를 관리하며 교류의 보안 설정 때문에 컴퓨터의 일반적인 설정 할 수있습니다. 협상에 발생하는 인증 방법과 암호화 알고리즘과 해시 알고리즘은 컴퓨터를 사용합니다.
- IPSec 드라이버 : IPSec 드라이버가, 다음과 같은 안전한 네트워크 통신을 활성화하는 작업의 숫자를 수행합니다 :
- IPSec이 패킷을 생성
- 체크섬을 생성합니다.
- IKE는 의사 소통을 시작하는
- the 게시판 AH 및 ESP 헤더 추가
- 데이터를 암호화하기 전에 전송됩니다.
- 해시 및 들어오는 패킷에 대한 체크섬을 계산합니다.
- IPSec 정책 : IPSec 정책을 정의할 때 데이터를 확보해야하며, 데이터 보안을위한 보안 방법을 사용하도록 정의합니다. IPSec 정책 요소의 숫자가 포함됩니다 :
- IPSec 정책 에이전트 :이 서비스는 컴퓨터가 Windows Server 2003에 액세스하는 IPSec 정책 정보를 실행에 게재됩니다. IPSec 정책 에이전트는 Windows 레지스트리 또는 Active Directory에서 IPSec 정책 정보를 액세스합니다.
-
오클리 주요 결정 프로토콜 :는 Diffie - 헬맨 알고리즘은 두 개의 인증 기관에 대한 협상을하고 계약에 비밀 열쇠에 사용됩니다.
- 보안 협회 (SA)에는 : SA 디바이스 간의 관계, 보안 서비스 및 설정을 사용하는 방법을 정의합니다.
- 트리플 데이터 암호화 (의 3DES) : 이것은 강력한 암호화 알고리즘을 실행하는 클라이언트 컴퓨터는 Windows를 사용하는 경우, 및 Windows Server 2003 컴퓨터. 의 3DES 암호화를위한 56 - 비트 키를 사용합니다.
IPSec이 작품을 이해하는 방법
보안 협회 (SA)에는 처음으로 두 컴퓨터 사이의 데이터를 안전하게 전달할 수있습니다 전에 컴퓨터 간의 설립되어야한다. 보안 협회 (SA)에는 디바이스 간의 관계, 보안 서비스 및 설정을 사용하는 방법을 정의합니다. 두 대의 컴퓨터는 sa 안전하게 의사 소통을 위해 필요한 정보를 제공합니다. 인터넷 보안 협회와 키 관리 프로토콜 (경우 ISAKMP)와 프로토콜 IKE는 두 대의 컴퓨터가 보안 연결을 설정할 수있는 메커니즘이없습니다. SA가하면 두 컴퓨터 사이의 설립되면, 컴퓨터는 데이터의 안전한 보안 설정을 활용하는 협상을했다. 보안 키 교환하고 컴퓨터를 안전하게 통신할 수 있도록하는 데 사용합니다.
보안 협회 (SA)에는 포함되어있는 다음 :
- 어떤 알고리즘 및 키 길이를 두 대의 컴퓨터가 데이터를 확보하는 데 사용할 예정 합의하에 정책.
- 보안 키 데이터 통신을 확보하는 데 사용합니다.
-
보안 매개 변수 색인 (SPI)로.
IPSec을 가지고, 두 개의 별도 SAs 데이터의 각 방향에 대한 커뮤니케이 션을 설립 위치 :
- 하나의 SA 인바 운드 트래픽을 확보했다.
- 하나의 SA 아웃 바운드 트래픽을 확보했다.
상기 이외에, 거기에 각 IPSec 보안 프로토콜에 대한 고유 SA입니다. 도착하면서 SAS 따라서 기본적으로 두 가지 유형이있습니다 :
- 경우 ISAKMP SA : 트래픽 흐름을 때 두 방향 및 IPSec 컴퓨터 간의 연결을 설정해야하는 경우 ISAKMP SA를 설립이다. 이 경우 ISAKMP SA 정의하고 두 컴퓨터 사이의 보안 매개 변수를 처리합니다. 두 컴퓨터 요소의 숫자에있는 경우 ISAKMP SA 설립에 동의합니다 :
- 연결은 인증을 받아야할지 여부를 결정합니다.
- 사용하는 암호화 알고리즘을 결정합니다.
- 메시지 무결성을 확인하는 알고리즘을 결정합니다.
후 위의 요소는 두 컴퓨터 사이의 협상을하고있어, 컴퓨터가 마스터 키에 동의하는 경우 ISAKMP 오클리 프로토콜을 사용합니다. 이것은 위의 요소와 보안 데이터 커뮤니케이 션을 활성화하는 데 사용됩니다 공유 마스터 키입니다.
두 컴퓨터 사이의 보안 통신 채널이 선택되면, 컴퓨터를 시작하면 다음 요소를 협상하기 위해 설립된다 :
- 여부 AH (인증 헤더) IPSec 프로토콜 연결을 위해 사용해야하는지 확인합니다.
-
는 연결에 대한 게시판 AH 프로토콜로 사용해야하는 인증 프로토콜을 결정합니다.
- 여부 Encapsulating 보안 페이로드 (ESP) IPSec 프로토콜 연결을 위해 사용해야하는지 확인합니다.
- ESP는 연결을위한 프로토콜로 사용해야하는 암호화 알고리즘을 결정합니다.
- 이 IPSec SA : IPSec을 SAS는 IPSec 터널과 IP 패킷에 관련된와 연결시 사용하는 보안 매개 변수를 정의할 수있습니다. 은 IPSec SA 위의 4 요소를 단지 두 컴퓨터 사이의 협상에서 파생된 것입니다.
데이터를 확보하고 보호하는 IPSec이 다음과 같은 기능을 제공하기 위해 암호화를 사용합니다 :
- 인증 : 컴퓨터의 데이터, 또는 컴퓨터의 데이터를 수신의 정체성을 보내는의 신원 확인과 인증을 다룹니다. IPSec을 보낸 사람이나 데이터의 수신기를 인증하는 데 사용할 수있는 방법이있습니다 :
- 디지털 인증서 : 신원을 인증의 가장 안전한 수단을 제공합니다. 넷스케이프, 엔트 러스트, 베리사인과 같은 인증 기관 (CA는) 및 Microsoft는 인증 목적을 위해 사용할 수있는 인증서를 제공합니다.
- Kerberos 인증 : Kerberos v5 인증 프로토콜을 사용의 단점은 컴퓨터의 정체성은 중요한 점은 전체 페이로드를 암호화되지 않은 인증에 암호화되어 남아있다.
-
일 Pre - 열쇠 공유; 때 전 아무것도 사용할 수있는 인증 방법의 사용되어야합니다.
안티 - 재경기로 네트워크를 통해 전송되는 데이터를 해석되지 않을 수있다는 인증을 보장합니다. 인증에 덧붙여, IPSec을 nonrepudiation 제공할 수있습니다. nonrepudiation으로, 데이터의 저장 무대 안에서 보낸 사실은 데이터 전송을 거부할 수있습니다.
- 데이터 무결성 : 데이터가 조작되지 않았음을받는에서받은 데이터 무결성을 보장과 함께 다루고있다. 한 해시 알고리즘으로 네트워크를 통해 전달되는 데이터가 수정되지 않도록하는 데 사용됩니다. 해시 알고리즘은 IPSec에 의해 사용될 수있습니다 :
- 메시지 다이제스트 (가 MD5); 한 - 방법 해시 그 결과는 128 -는 무결성을 확인하기 위해 사용되는 비트 해시.
- 보안 해시 알고리즘 1 (SHA1); 비트 비밀 키 160 - 160 - 비트 메시지보다 더 많은 보안 기능을 제공하는가 MD5 다이제스트를 생성합니다.
- 데이터 기밀성 : IPSec을하기 전에 네트워크를 통해 전송되는 데이터를 암호화 알고리즘을 적용하여 데이터 기밀성을 보장합니다. 데이터를 도청하는 경우, 암호화는 데이터를 해석할 수없는 침입자를 보장합니다. 데이터 기밀성을 보장하기 위해, 다음 중 하나에서 IPSec 암호화 알고리즘을 사용할 수있습니다 :
- 데이터 암호화 표준 (DES);은 기본 암호화 알고리즘은 Windows Server 2003에서 사용되는 56 - 비트 암호화를 사용합니다.
-
트리플 12 (의 3DES); 데이터를 하나의 키를 다른 키와 함께 복호화, 암호화되어 또 다른 열쇠로 암호화합니다.
- 40 - 비트 데; 가장 덜 안전한 암호화 알고리즘입니다.
은 IPSec 모드 이해
IPSec을 다음 모드 중 하나에서 작동할 수있습니다 :
- 터널 모드 : IPSec 터널 모드는 WAN 및 VPN 연결에 대한 보안을 제공하기 위해 그 연결을 매체로 인터넷을 사용하는 데 사용할 수있습니다. 터널 모드에서 IPSec이 IP 헤더와 IP 페이로드를 암호화합니다. 터널링과 함께, 데이터 패킷에 추가 패킷 내부에 캡슐을 포함하고있다. 새 패킷을 누른 다음 네트워크를 통해 전송됩니다.
터널 모드는 일반적으로 다음과 같은 구성에 사용됩니다 :
- 서버가 서버에
- 서버를 게이트웨이로
- 게이트웨이 게이트웨이로
그 때 의사 소통의 터널 모드에서 IPSec 모드로, 아래의 세부입니다 정의가 발생하는 과정 :
- 데이터는 개인 네트워크에있는 컴퓨터에서 피임기구를 사용하여 IP 데이터 전송됩니다.
- 패킷이 라우터에 도착하면, 라우터는 패킷이 IPSec 보안 프로토콜을 사용하여 캡슐 화합니다.
- 연결의 다른 쪽 끝에있는 라우터는 다음 라우터에 패킷을 전달합니다.
- 이 라우터는 패킷의 무결성을 검사합니다.
- 패킷 해독이다.
-
패킷의 데이터를 보호되지 않은 IP 데이터에 추가되어 대상 컴퓨터의 개인 네트워크에 보냈습니다.
- 전송 모드 :이 작업은 IPSec은 전용의 IP 페이로드 the 게시판 AH 또는 ESP 프로토콜을 통해 암호화된 프로토콜에 의해 사용의 기본 모드입니다. 전송 모드에 사용되는 - - 엔드 네트워크에있는 두 컴퓨터 사이의 엔드 통신 보안.
IPSec을 구성 요소
IPSec을 배포할 때 두 가지 구성 요소가 설치된 기본입니다 :
- IPSec 정책 에이전트 :이 서비스는 컴퓨터가 Windows Server 2003에 액세스하는 IPSec 정책 정보를 실행에 게재됩니다. IPSec 정책 에이전트는 Windows 레지스트리 또는 Active Directory에서 IPSec 정책 정보를 액세스합니다. IPSec 정책 에이전트는 아래에 제공하는 주요 기능 :
- IPSec 정책 에이전트는 IPSec 드라이버에 정보를 전달합니다.
- 로컬 Windows 레지스트리에서 IPSec 정책 에이전트 정보에 액세스하는 IPSec 정책을 할 때 컴퓨터가 도메인에 속하지 않습니다.
- Active Directory에서 IPSec 정책 에이전트 정보에 액세스하는 IPSec 정책을 할 때 컴퓨터가 도메인의 구성원입니다.
- IPSec 정책 에이전트가 모든 구성 변경을위한 IPSec 정책을 검색합니다.
- IPSec 드라이버 : IPSec 드라이버가, 다음과 같은 안전한 네트워크 통신을 활성화하는 작업의 숫자를 수행합니다 :
- IPSec이 패킷을 생성
- 체크섬을 생성합니다.
- IKE는 의사 소통을 시작하는
-
the 게시판 AH 및 ESP 헤더 추가
- 데이터를 암호화하기 전에 전송됩니다.
- 해시 및 체크섬 계산 들어오는 패킷에 대한
은 IPSec 프로토콜의 이해
앞서 언급했듯이, 주요 IPSec 보안 프로토콜 AH (인증 헤더)와 Encapsulating 보안 페이로드 (ESP) 프로토콜입니다. 거기 경우 ISAKMP, IKE는 IPSec 프로토콜 등, 그리고 오클리는 Diffie - 헬맨 그 알고리즘을 사용합니다.
AH (인증 헤더) 프로토콜
이 게시판 AH 프로토콜 데이터를 확보하기 위해 다음과 같은 보안 서비스를 제공합니다 :
이 게시판 AH 프로토콜은 네트워크를 통해 이동으로 수정되지 않습니다 그 데이터를 보장합니다. 또한 데이터가 발신자에서 유래합니다.
때문에 IP 패킷에 포함된 데이터를 암호화하지 않기 때문에 비록 게시판 AH 프로토콜 데이터 기밀성을 제공하지 않습니다. 이것은 기본적으로, 게시판 AH 프로토콜은 그 자체로 사용되는 경우; 침입자가 데이터를 캡처할 수있다는 데이터를 읽을 수있을 것이라고 의미합니다. 그들이 비록 데이터를 변경할 수없습니다. 경우뿐만 아니라 데이터 기밀성을 보장해야하는 게시판 AH 프로토콜을 조합에서 ESP 프로토콜을 함께 사용할 수있습니다.
아 때 발생하는 통신 프로토콜을 사용하는 프로세스가 여기에 표시됩니다 :
- 하나의 컴퓨터를 다른 컴퓨터로 데이터를 전송합니다.
-
의 IP 헤더는, 아, 머리글 및 데이터 자체는 데이터 무결성을 보장하기 위해 서명됩니다.
- 이 게시판 AH 헤더는 IP 헤더와 IP 사이에 삽입됩니다 인증 및 무결성을 제공하기 위해 페이로드.
역할은 각 필드에 의해 수행을 가진 아 헤더 내에있는 필드와 함께 여기에 나열됩니다 :
- 다음 머리글;의 IP 프로토콜 ID가이 게시판 AH 헤더 이후 존재를 통해 IP를 페이로드의 타입을 지정하는 데 사용합니다.
- 길이 있으며 게시판 AH 헤더의 길이를 나타냅니다.
- 보안 매개 변수 색인 (SPI)로하며, 다음의 조합을 통해 커뮤니케이 션을위한 올바른 보안 협회를 나타냅니다 :
- IPSec 보안 프로토콜.
- 목적지 IP 주소를
- 시퀀스 번호; IPSec을 방지 - 커뮤니케이 션을위한 재생 보호 기능을 제공하는 데 사용합니다. 1에서 시퀀스 번호를 개시, 1하여 각 패킷에 뒤이어 증가합니다. 그것과 보안 협회와 같은 순서로 번호가 패킷을 삭제할 수있습니다.
- 인증 데이터;가 무결성 검사 값 (ICV) 송신 컴퓨터에 의해 데이터 무결성 및 인증을 제공하기 위해 계산 보유하고있다. 수신 컴퓨터, 아 헤더와 IP 페이로드, 그리고 IP 헤더를 통해 ICV 계산 다음 두 ICV 값을 비교합니다.
캡슐 보안 페이로드 (ESP) 프로토콜
이 ESP 프로토콜 데이터를 확보하기 위해 다음과 같은 보안 서비스를 제공합니다 :
- 인증
- 안티 - 재생
- 데이터 무결성
- 데이터 기밀성
the 게시판 AH 프로토콜과 ESP 프로토콜 사이의 주요 차이점은 ESP 프로토콜 암호화를 통해 데이터 기밀성과 게시판 AH 프로토콜에 의해 제공된 모든 보안 서비스를 함께 제공하고있습니다. ESP 자체에, 그리고 그것을 함께 사용할 수있는 게시판 AH 프로토콜을 함께 사용할 수있습니다. 전송 모드에서 ESP 프로토콜에만 징후와 IP 페이로드를 보호합니다. 의 IP 헤더는 보호되지 않습니다. ESP 프로토콜을 함께하는 경우 게시판 AH 프로토콜로, 다음 전체 패킷 서명이 사용됩니다.
ESP 삽입은 기본적으로 IP 데이터의 페이로드 encloses an ESP 헤더 및 ESP 트레일러,. the ESP 트레일러의 지점의 ESP 헤더 이후의 모든 데이터, 그리고 실제 ESP 트레일러가 암호화됩니다.
역할은 각 필드에 의해 수행와 ESP 헤더 내에있는 필드와 함께 여기에 나열되어있습니다 :
- 보안 매개 변수 색인 (SPI)로하며, 다음의 조합을 통해 커뮤니케이 션을위한 올바른 보안 협회를 나타냅니다 :
- IPSec 보안 프로토콜.
- 목적지 IP 주소를
-
시퀀스 번호; IPSec을 방지 - 커뮤니케이 션을위한 재생 보호 기능을 제공하는 데 사용합니다. 1에서 시퀀스 번호를 개시, 1하여 각 패킷에 뒤이어 증가합니다. 그것과 보안 협회와 같은 순서로 번호가 패킷을 삭제할 수있습니다.
역할은 각 필드에 의해 수행과 ESP 트레일러 사이의 필드와 함께 여기에 나열되어있습니다 :
- 패딩;는 암호화 알고리즘에 의해 그 경계가 존재하는 바이트 수 있도록해야합니다.
- 패딩 길이 있으며 길이는 패딩 분야에 사용되었다 패딩 (바이트)를 나타냅니다.
- 다음 머리글;의 IP 프로토콜을 통해 IP를 페이로드의 유형을 지정하는 데 사용되는 ID입니다.
- 인증 데이터;가 무결성 검사 값 (ICV) 송신 컴퓨터에 의해 데이터 무결성 및 인증을 제공하기 위해 계산 보유하고있다. 수신 컴퓨터, 아 헤더와 IP 페이로드, 그리고 IP 헤더를 통해 ICV 계산 다음 두 ICV 값을 비교합니다.
, 및 보안 정책은 IPSec 보안 필터, 보안 방법의 이해
보안은 기본적으로 특정 네트워크 주소로 보안 프로토콜이 일치하는 필터. IPSec 필터를 무단으로 트래픽을 걸러내는 데 사용하실 수있습니다. 이 필터는 다음과 같은 정보가 포함되어있습니다 :
- 소스 및 대상 IP 주소를
- 프로토콜 사용
- 소스 및 대상 포트
각 IP 주소는 네트워크와 호스트 부분 부분 ID는 ID가 포함되어있습니다. 다음에 따라 보안 필터를 통해 트래픽을 필터링할 수있습니다 :
- 트래픽을 통과 허용
- 교통 안전에
- 트래픽을 차단하도록
보안 필터는 필터 목록으로 분류하실 수있습니다. 거기에 필터는 필터 목록에 포함시킬 수있는 횟수에는 제한이 없다. IPSec 정책을 여부를 패킷에 IP 보안 규칙을 사용해야합니다 확인할에 IP 필터를 사용합니다.
당신은 IPSec 정책 트래픽과 IP 필터와 일치하는 거래를해야하는 방식을 지정할 수있는 보안 방법을 사용하실 수있습니다. 보안 방법 또한 필터 동작이라고도합니다. 다음 이벤트 중 하나의 필터 동작의 결과 :
귀하의 네트워크에 보안을 적용하려면, IPSec 정책이 사용됩니다. 이 IPSec 정책을 정의할 때 데이터를 확보하는 방법을해야한다. 또한이 IPSec 정책을 사용하면 네트워크에있는 다른 수준에서 데이터를 확보하는 보안 방법을 결정합니다. IPSec 정책을 구성할 수 있도록 다양한 종류의 트래픽을 각각의 개별 정책에 의해 영향을받습니다 수있습니다.
IPSec 정책은 다음 수준에서 네트워크 내에 적용할 수있습니다 :
- Active Directory 도메인
- Active Directory 사이트
- Active Directory 조직 구성 단위
- 컴퓨터
- 응용 프로그램
IPSec 정책의 다른 구성 요소가 여기에 나열되어있습니다 :
- IP 필터; 인바 운드 및 아웃 바운드 트래픽을 확보해야하는 트래픽의 유형에 대한 IPSec 드라이버가 알려줍니다.
- IP 필터 목록;에서 순서를 네트워크 트래픽의 특정 설정 격리 그룹에 하나의 목록에 여러 IP 필터를 사용합니다.
- 필터 동작을;하는 방법을 정의하는 데 사용되는 IPSec 드라이버가 트래픽을 확보해야한다.
- 보안 방법; 보안 유형 및 알고리즘 키 교환 및 인증을 위해 사용하는 프로세스를 말합니다.
- 연결 유형 : IPSec 정책에 미치는 영향은 연결의 유형을 식별합니다.
- 터널 설정;가 터널 끝점의 IP 주소 / 규칙;은 다음 구성 요소의 특정 방식으로 트래픽의 특정 하위 집합을 확보하기 위해 그룹화 :
- IP 필터
- 필터 동작.
- 보안 방법
- 연결 유형
- 터널을 설정합니다.
즐겨찾기에 대한 이해에서 IPSec
최신 블로그 게시물