آموزش استفاده از IPSec در ویندوز سرور و کلاینت برای ایزوله سازی

هدف اصلی استفاده از پروتکل IPSec محافظت از محتویات و صحت ترافیک شبکه با استفاده از رمزنگاری است. اما زمانیکه شما نیاز دارید که دسترسی به یک سری منابع را محدود کنید ، بلافاصله به فکر پیاده سازی کنترل های دسترسی یا Access Control List ها و یا استفاده از VLAN می افتید . البته که این گزینه ها از موارد اصلی در محدود کردن دسترسی و کنترل دسترسی به منابع هستند اما توجه کنید که ACL ها در لایه هفتم از مدل OSI فعالیت می کنند و همین می تواند باعث بروز مشکلات امنیتی و ریسک های امنیتی بزرگی باشد.

در محیط واقعی شما می توانید با استفاده از پروتکل IPSec یک سری سرور یا کامپیوتر و یا حتی Domain را به گونه ای ایزوله کنید که فقط ارتباطات مجاز بتواند با آنها برقرار شود و در نتیجه منابع شما محافظت می شوند. در واقع قبلا استفاده از IPSec به این شکل که برای ایزوله سازی سرورها مورد استفاده قرار بگیرد ،وجود نداشت.

قابلیت جدیدی به نام IPSec-Based Connection Security Rue در ویندوز سرور 2008 و ویندوز سون و ویستا با هماهنگی که با فایروال جدیدی ویندوز به نام Windows Firewall With Advanced Security ایجاد کرد و با ترکیب شدن با Group Policy باعث شد یک ابزار بسیار خوب برای ایزوله سازی سرورها فراهم شود. در ابتدای این مقاله ابتدا مروری بر مفاهیم و گذشته ایزوله سازی سرورها می پردازیم و سپس فرآیند انجام تنظیمات آن را با هم انجام خواهیم داد.


ایزوله سازی سرورها یا Server Isolation چیست ؟

با استفاده از قابلیت ایزوله سازی دامین و سرور شما قادر خواهید بود که فقط به کامپیوترها و ارتباط هایی اجازه برقراری ارتباط با سرورهای خود را بدهید که عضو دامین شما هستند و ارتباط آنها امن و رمزنگاری شده است ، کامپیوترهایی که عضو دامین هستند صرفا می توانند با سرور ایزوله شده ارتباط برقرار کنند و سایر کامپیوترهایی که عضو نیستند فقط تحت شرایط خاصی می توانند با سرور مورد نظر ارتباط برقرار کنند.

برای مثال شما می توانید با استفاده از یک Policy به یک سرور SQL بگویید که صرفا با کامپیوترهایی ارتباط برقرار کند که عضو گروه خاصی هستند و یا اینکه دارای Certificate خاصی هستند. وقتی سرورهای خود را با این روش ایزوله می کنید دیگر نیازی به انجام تنظیمات اضافی در شبکه و یا استفاده از نرم افزارهای جانبی شبکه نمی باشد. هر چیزی که شما بخواهید در سیستم عامل شما وجود دارد.

سرورهای و Domain هایی که با این روش ایزوله می شوند ، زمانیکه طراحی های شبکه عوض شوند و یا تنظیمات نگهداری شبکه تغییر کند و یا اینکه به محل دیگری در شبکه منتقل شوند یا به دستگاه خاصی در شبکه متصل شوند ، تنظیمات مربوط به ایزوله سازی بدون مشکل خاصی به کار خود ادامه خواهند داد و مشکلی در آنها به وجود نخواهد آمد. به دلیل اینکه ایزوله سازی سرور ها در سطح سیستم عامل انجام می شود هیچ تداخلی در سایر سطوح امنیتی شبکه شما ایجاد نخواهد کرد.


در ویندوز سرور 2003 قابلیت ایزوله سازی سرورها با استفاده از یک Policy به نام Access this computer from network در تنظیمات Group Policy قابل پیاده سازی بود اما این قابلیت دارای یک سری محدودیت ها بود. در این Policy شما فقط می توانستید به Computer ها و User ها قابلیت دسترسی به یک سیستم خاص را بدهید، شما در این حالت نمی توانستید بگویید که روش احراز هویت یا Authentication Method به چه شکل باشد.

همچنین در این قابلیت ، امکان این بود که شما یک پروتکل احراز هویت مثال NTLM V2 را برای استفاده توسط Group Policy اجبار کنید اما امکان اجبار کردن برای استفاده از Kerberos و یا درخواست Certificate برای احراز هویت ممکن نبود. در ویندوز سرور 200 و ویندوزهای ویستا و سون ، قابلیت های جدیدی به سیستم عامل اضافه شده که بتوانند با استفاده از امکانی به نام Windows Firewall With Advanced Security عملیات ایزوله سازی سرورها را انجام دهند.

علاوه بر اینکه این ابزار قابلیت انجام تنظیمات پیشرفته فایروال را به شما می دهد ، امکان ایجاد Connection Security Rules یا قوانین امنیتی ارتباط را هم برای شما فراهم کرده است. این قوانین یا Rule ها برای عملیات ایزوله سازی سرورها بسیار کاربردی هستند. همچنین ایزوله سازی به وسیله استفاده از IPSec هم در این قابلیت هماهنگی بسیار زیادی با فعالیت های فایروال ویندوز پیدا کرده است.


درخواست کردن ( Requesting ) یا نیازداشتن ( Requiring ) ؟

اولین وظیفه شما این است که تعیین کنید که کدام میزبان یا Host را می خواهید ایزوله کنید ، سپس سطح ایزوله سازی که می خواهید پیاده سازی کنید را تعیین می کنید. در برخی موارد ایزوله سازی سرورها برای تمامی میزبان هایی که در شبکه Domain قرار دارند انجام می شود که به نوعی معادل ایزوله سازی Domain محسوب می شود.

به هر حال شما معمولا تعداد معدودی از سرورها یا کلاینت ها را که می خواهید از درجه امنیتی بالاتری برخوردار باشند ایزوله سازی می کنید. بنابراین در ابتدا ما یک سرور را به تنهایی ایزوله سازی می کنیم ، توجه کنید که مقاله ما در هر سه سیستم عامل ویندوز سون و ویستا و سرور 2008 قابل استفاده می باشد بنابراین ما سیستم عامل خاصی را مد نظر قرار نمی دهیم.


استفاده از IPsec در ویندوز سرور 2008

شما می توانید کنسول Windows Firewall with Advanced Security را از داخل Control Panel و قسمت Administrative Tools پیدا کنید و یا در قسمت Run در منوی Start کلمه Firewall.cpl را وارد کنید. بعد از اینکه کنسول را باز کردید بر روی نود Connection Security Rules راست کلیک کنید و گزینه New Rule را انتخاب کنید.

با اینکار ویزارد New Connection Security Rule باز خواهد شد که چندین انتخاب را به شما نمایش می دهد. اولین گزینه که Isolation یا ایزوله سازی است را انتخاب کنید.سایر امکانات موجود به شما اجازه ایجاد exemption rule را می دهد که در این حالت شما می توانید سرورها یا سیستم هایی را برای برقراری ارتباط با سیستم خودتان بدون نیاز به هرگونه احراز هویت استثناء کنید.

سایر گزینه ها به شما اجازه ایجاد ساختار احراز هویت بین چندین کامپیوتر خاص ( بین یک سرور و سرور دیگر ) ، اجبار کردن احراز هویت و استفاده از Tunneling Mode ( برای ارتباطات Site to Site) یا ایجاد یک Rule دلخواه را می دهند.


استفاده از IPsec در ویندوز سرور 2008


بعد از اینکه گزینه Isolation را انتخاب کردید بر روی Next کلیک کنید ، در اینجا شما بایستی شما بین چندین نیازمندی احراز هویتی یا authentication requirement موارد مورد نظر خود را انتخاب کنید. معمولا انتخاب شما در این لحظه بین گزنه requesting و requiring خواهد بود. اگر شما گزینه Requesting را انتخاب کنید ، احراز هویت یا authentication برای ترافیک های ورودی ( inbound ) و خروجی ( outbound) یا هر دو مورد درخواست می شود اما اجبار نمی شود.

اگر یکی از طرفین قابلیت احراز هویت را نداشته باشند ، ترافیک در حالت عادی ادامه پیدا می کند. اگر گزینه Require را انتخاب کنید ، سیستم عامل احراز هویت را برای ترافیک اجبار می کند و اگر یکی از طرفین نتواند به درستی احراز هویت را انجام دهد ، ارتباط برقرار نخواهد شد و قطع می شود. بسته به سطح نیازمندی امنیتی ، شما می توانید برای ترافیک خروجی یا Outbound خود حالت Request و برای ترافیک ورودی یا Inbound حالت Require را انتخاب کنید.

در این حالت تمامی ارتباطاتی که از بیرون می خواهد با سیستم شما برقرار شود حتما بایستی احراز هویت شوند و بدون اینکار ارتباط قطع خواهد شد. با این روش سیستم شما ایزوله می شود و از طرفی ارتباطات خروجی شما هم تا حد ممکن احراز هویت می شوند. بالاترین سطح امنیتی در این است که برای هر دو نوع ترافیک Inbound و Outbound گزینه Require را انتخاب کنیم.

اولین گزینه که Request authentication for inbound and outbound connections می باشد احراز هویت برای ترافیک ورودی و خروجی را حالتی اختیاری می داند و روش مناسبی برای ایزوله کرده سیستم نمی باشد. دومین گزینه که Require authentication for inbound connections and request authentication for outbound connections است سطح امنیتی بهتری را به شما ارائه می دهد با توجه به اینکه ترافیک های ورودی محدود شده اند ، اما همچنان ترافیک خروجی اگر دارای احراز هویت هم نباشد براحتی قابل انجام است. در سناریوی ما گزینه دوم بهترین گزینه محسوب می شود و ما نیز آن را انتخاب کرده و بر روی Next کلیک می کنیم.


انجام تنظیمات احراز هویت یا Authentication

بعد از انجام مراحل بالا شما بایستی یک روش احراز هویت یا Authentication Method را پیکربندی کنید.در این گام شما می توانید احراز هویت از طریق پروتکل Kerberos را برای یک user ، یک Computer و یا هر دو اجبار کنید ، در همین قسمت شما می توانید احراز هویت توسط certificate را انتخاب کنید و یا اصلا یک روش دلخواه احراز هویت پیاده سازی کنید.

به هر حال بایستی توجه کنید که این روش های احراز هویت برای استفاده از IPsec اجباری است . اگر نرم افزارهایی از روش های دیگر احراز هویت مثل NTLM استفاده کنند ، احراز هویت در لایه کاربردی یا Application انجام می شود اما با استفاده از IPsec احراز هویت در لایه شبکه یا Network انجام می شود. اگر شما گزینه پیشفرض را انتخاب کنید ، احراز هویت به همان روشی انجام خواهد شد که در تب Properties مربوط به کنسول Windows Firewall with Advanced Security Properties در تنظیمات IPsec انجام شده است.

برای دسترسی به این موارد بر روی کامپیوتر خود در قسمت Windows Firewall with Advanced Security Properties راست کلیک کنید و Properties را انتخاب کنید. از تب IPsec Settings شما می توانید گزینه Customize را انتخاب کرده و مقادیر پیشفرض در هنگام ایجاد Connection Security Rules را انتخاب کنید.


استفاده از IPsec در ویندوز سرور 2008


  • (Computer and User ( using Kerberos V5 : اگر شما گزینه دوم از Authentication Method ها که( Computer and User (using Kerberos V5, می باشد را انتخاب کنید ف هر ارتباطی که به یک هاست ایزوله شده برقرار می شود می بایست با استفاده از پروتکل Kerberos احراز هویت شود. اگر هر دوی Computer ها و User ها عضو دامین هستند ، احراز هویت بصورت خودکار انجام می شود و کاربر در این فرآیند دخالتی نخواهد داشت. این روش پیاده سازی احراز هویت ضمن اینکه درجه امنیتی مناسبی دارد ، برای پیاده سازی نیز جزو راحت ترین موارد می باشد ، بنابراین در اکثر سناریوهای سازمانی استفاده از چنین روشی برای ایزوله سازی پیشنهاد می شود.

  • (Computer ( using Kerberos V5: اگر گزینه( Computer (using Kerberos V5 را انتخاب کنید ، احراز هویت فقط برای Computer ها انجام خواهد شد. به زبان دیگر اگر Computer ای که قصد برقراری ارتباط با سرور هاست را دارد عضو دامین باشد دیگر نیازی نیست که کاربر آن احراز هویت شود .

  • Computer Certificate : این گزینه صرفا به کامپیوترهایی اجازه برقراری ارتباط با سیستم هاست ایزوله شده را می دهد که آن کامپیوتر از یک Certification Authority معتبر که هاست نیز به آن اعتماد داد Certificate دریافت کرده باشد ، در غیر اینصورت به ارتباط اجازه برقراری نخواهد داد. این روش امنی ترین روش و البته کمی مشکل برای پیاده سازی می باشد.

  • Health Certificates : نزدیک دکمه Customize IPsec Settings در انتهای تصویر یک چک باکس جالب وجود دارد که به آن Accept Only Health Certificates گفته می شود ، این چک باکس یک سطح امنیتی علاوه بر سازمان به ارتباط شما می دهد. اگر IPsec با ترکیب سرویس NAP راه اندازی شده باشد ، صرفا به ارتباطاتی اجازه برقراری می دهد که توسط سرویس Health Registration Authority سرویس NAP تایید شده و دارای Certificate آن باشند.

  • Advanced : در پایین صفحه شما گزینه ای به نام Advanced را مشاهده می کنید که به شما اجازه می دهد که بتوانید روش های احراز هویت متعددی را انتخاب کنید که در فازهای مختلف انجام شدن فرآیند احراز هویت IPsec مورد استفاده قرار بگیرند. با انتخاب گزینه customize می توانید تک تک تنظیمات احراز هویت در هر مرحله را پیکربندی کنید ، این گزینه معمولا به دلیل پیچیدگی های زیادی که دارد مورد استفاده قرار نمی گیرد.
اولین روش احراز هویت در زمانی رخ می دهد که اصلی ترین قسمت فرآیند IPsec در حال انجام است. در این فاز دو کامپیوتر با یکدیگر یک کانال امن و احراز هویت شده را با استفاده از فرآیند های احراز هویت و الگوریتم انتقال کلید Diffie-Hellamn با یکدیگر برقرار می کنند. با استفاده از روش احراز هویت دوم ، شما چگونگی احراز هویت کاربری که به کامپیوترهای مورد نظر وارد می شود را تعیین می کنید. انتخاب های موجود در این قسمت Kerberos V5 ، User Certificate ها و Computer Health Certificate ها هستند. استفاده از هر دو روش اول و دوم کاملا اختیاری است اما برای ایجاد یک محیط امن ، شما حداقل بایستی احراز هویت را با استفاده از روش اول داشته باشید. برای اینکه به سناریوی موجود در مقاله خود ادامه دهیم در اینجا شما Computer and User ( using Kerberos V5) را انتخاب کرده و بر روی Next کلیک کنید.

Network Profile چیست ؟

در ادامه ویزارد از شما سئوال می شود که این Rule بر روی کدامیک از Network Profile های موجود اعمال می شود. انتخاب های شما در اینجا Domain ، Private و Public هستند که بصورت پیشفرض هر سه انتخاب شده اند.به هر حال شما بایستی با توجه به شرایط محیطی که در آن هستید این موارد را به درستی انتخاب کنید. برای مثال اگر هدف شما ایزوله کرده Laptop است بنابراین هدف اصلی شما شبکه های Public است.

Domain Network Profile به شبکه ای اشاره می کند که به Domain Controller های شما دسترسی دارد و به شما اجازه برقراری ارتباط با اکتیو دایرکتوری را می دهد.Private Network Profile معمولا به شبکه های خانگی اشاره می کند که حریم شخصی و خصوصی آنها محدود بوده و افراد زیادی به آن دسترسی ندارند. Public Network Profile به شبکه هایی اطلاق می شود که کاربر بعد از برقراری ارتباط با آنها ، شبکه مورد نظر را به عنوان Public انتخاب می کند ، معمولا این شبکه ها در هتل ها و محل هایی هستند که دارای ریسک بالایی از نظر امنیتی هستند. در فرودگاه ها معمولا Hot Spot ها را به عنوان Public در نظر می گیریم.


استفاده از IPsec در ویندوز سرور 2008


در برخی موارد پیش می آید که شما می خواهید تیک قسمت Private را بردارید. برای مثال اگر شما می خواهید یک Connection Security Rule برای Laptop خود ایجاد کنید به احتمال زیاد شما می خواهید در سیستم خود را در محیط های Public و Domain ایزوله کنید ، اما می خواهید همچنان به شبکه شخصی خود دسترسی داشته باشید ، البته برای بدست آوردن نهایت امنیت ممکن در این روش شما بایستی هر سه گزینه را انتخاب کنید. قدم نهایی در انتهای این ویزارد انتخاب یک اسم برای Rule مورد نظر است ، پیشنهاد می کنیم که یک اسم با محتوا برای اینکار استفاده کنید ، بعد از اینکه بر روی گزینه Finish کلیک کردید ، Rule بصورت خودکار ایجاد شده و به لیست Rule های موجود شما اضافه می شود.

پیاده سازی Inbound Rule های فایروال

اگر می خواهید تمهیدات امنیتی بیشتری برای ارتباطات و ایزوله کردن Host خود ایجاد کنید ، می توانید با استفاده از Inbound Rule های فایروال لایه های امنیتی بیشتری به Host خود اضافه کنید. برای مثال شما می توانید با استفاده از این Rule ها شماره پورت ها و آدرس های IP مجاز برای برقراری ارتباط با Host خود را مشخص کنید.البته شما می توانید اینکار را با استفاده از خود IPsec هم انجام دهید. تمامی این تنظیمات امنیتی را شما می توانید از طریق کنسول Windows Firewall with Advanced Security براحتی انجام دهید.

وارد کنسول مورد نظر شوید و بر روی نود Inbound Rule راست کلیک کنید و گزینه New Rule را انتخاب کنید ، صفحه New Inbound Rule Wizard برای شما باز خواهد شد. گزینه Port را انتخاب کنید و Next را کلیک کنید ، از بین TCP و UDP یکی را انتخاب کنید و محدوده پورت هایی را که می خواهید باز باشند را مشخص کنید . برای مثال اگر فقط می خواهید ترافیک پورت 80 بتواند به Host شما ورود کند کافیست عدد 80 و 443 را انتخاب کنید. بر روی Next کلیک کنید ، در صفحه بعدی گزینه Allow Connection را انتخاب کنید.

اینکار باعث می شود که این Rule با Connection Security Rule ای که قبلا در مرحله قبلی ایجاد کردیم هماهنگی داشته باشد. در این حالت ارتباط شما تنها در صورتی از طریق پورت 80 برقرار می شود که بتواند موارد احراز هویتی که برایش تعیین شده است را رعایت کند. برای اینکه ترافیک شما رمزنگاری شود می توانید گزینه Require the connections to be encrypted را انتخاب کنید.

بر روی Next کلیک کنید ، در اینجا شما می توانید Computer ها و User هایی که عضو دامین هستند را برای اعمال شدن Rule مورد نظر انتخاب کنید. در نهایت Network Profile و اسم Rule مورد نظر را انتخاب می کنید. برای اینکه بتوانید اطلاعات بیشتری در خصوص ایجاد Rule ها در فایروال ویندوز بدست بیاورید می توانید به دو مقاله زیر از مهندس تقی زاده و مهندس عچرش مراجعه کنید :



پیکربندی Exemptions ( معاف کردن )

برخی اوقات پیش می آید که شما می خواهید برخی از Computer ها ، Group ها یا محدوده ای از آدرس های IP مرتبط با Computer ها را از احراز هویت شدن در Connection Security Rule ها معاف کنید . برای مثال شما برای برقراری ارتباط سیستم ایزوله شده قبل از احراز هویت سایر ارتباطات با سرورهای مهم مانند Domain Controller ها و DHCP سرورها و CA ها می توانید یک معافیت یا Exemption تعریف کنید تا دیگر نیازی به احراز هویت این کامپیوترها نباشد.

نکته بسیار بسیار مهم

زمانیکه ایزوله سازی را انجام می دهید بسیار مراقب باشید که سرورهای زیرساختی شما از قبیل CA ، DC ، DHCP ، DNS و سایر سرویس های زیرساختی تحت تاثیر قرار نگیرند. این سرورها نباید محدودیتی برای ارتباطات Inbound و Outbound از طریق IPsec داشته باشند و در حقیقت نیازی هم به این کار ندارند. اگر قصد دارید برای این سرورها نیز ایزوله سازی انجام دهید بایستی توجه کنید که بسیار بسیار مراقب تنظیماتی باشید که انجام می دهید .

تنظیمات بایستی به گونه ای انجام شود که به Computer هایی که احراز هویت نشده اند نیز اجازه برقراری ارتباط و دسترسی پیدا کردن به سرویس ها را بدهند. Member Server ها و Workstation ها نیز بایستی به گونه ای پیکربندی شوند که حداکثر حالت Request را برای این سرورها در Rule ها داشته باشند ، در چنین مواردی استفاده از Exception یا معاف کردن بسیار پیشنهاد می شود.


برای پیکربندی exemption از قسمت connection Security Rules گزینه New Inbound Rule Wizard را مجددا باز کنید ، سپس بر روی گزینه Authentication Exemption کلیک کنید و Next را بزنید. در صفحه بعدی می توانید با استفاده از گزینه Add کامپیوترها ، محدوده های آدرس IP یا کامپیوتر خاصی را انتخاب کنید که دیگر برای این موارد احراز هویت یا Authentication انجام نخواهد شد. زمانیکه تصمیم خود را گرفتید بر روی Next کلیک کنید و Network Profile ای که Rule مورد نظر بایستی بر روی آن اعمال شود را انتخاب کرده ، نام Rule را تعیین و بر روی Finish کلیک کنید.

استفاده از Group Policy

مناسبترین راه برای فعال سازی ایزوله سازی سرورها بر روی چندین کامپیوتر در شبکه استفاده از قابلیت های Group Policy است. توجه کنید که مواردی که هم اکنون در خصوص Group Policy برای استفاده مطرح می شود صرفا در domain هایی موجود است که از سرورهای ویندوز سرور 2008 و بعد از آن استفاده می کنند ، در ویندوز سرور 2003 چنین قابلیتی توسط Group Policy قابل پیاده سازی نبود.

به هر حال اگر همچنان از ویندوز سرور 2003 استفاده می کنید ، می توانید از IPsec Policy Options استفاده کنید. قبل از اینکه یک Group Policy Object یا GPO ایجاد کرده و آن را لینک کنید ، بایستی سرورها یا Host هایی را که می خواهید ایزوله کنید یا تنظیمات مشابهی دارند را در یک Organizational Unit مشخص قرار دهید.


بعد از اینکه ساختار OU های خود را ایجاد کردید و سرورها را بر همان اساس در درون OU ها قرار دادید ، کنسول Group Policy Management یا GPMC را باز کنید. یک GPO جدید ایجاد کنید ، بر روی آن راست کلیک کنید و گزینه Edit را انتخاب کنید. به قسمت Computer Configuration بروید و Windows Settings , Security Settings , Windows Firewall With Advanced Security را باز کنید.

در این قسمت شما دقیقا همان رابط کاربری را مشاهده خواهید کرد که در کامپیوتر Local خود مشاهده می کنید. بر روی connection Security Rules کلیک کرده و New Inbound Rule Wizard را انتخاب کنید و با توجه به نیاز خودتان موارد مورد نیاز را مشابه آنچه قبلا توضیح داده شد پیاده سازی کنید.


بعد از اینکه کار شما تمام شد و یک Connection Security Rule در GPO ایجاد کردید. اگر بر روی Rule مورد نظر راست کلیک کنید و گزینه Properties را انتخاب کنید و به تب Computers بروید ، شما می توانید Endpoint ها یا Computer هایی که Rule به آنها اعمال می شود را انتخاب کنید .شما می توانید یک یا چندین کامپیوتر را برای اعمال Policy مورد نظر انتخاب کنید.

شما می توانید در اینجا یک آدرس IP خاص یا چندین آدرس IP یا یک Subnet را برای اعمال شدن Rule مشخص کنید. توجه کنید که Connection Security Rule ها به ارتباطاتی اعمال می شوند که بین هر کامپیوتر در endpoint 1 و هر کامپیوتری در endpoint 2 برقرار می شود. بعد از اینکه تمامی موارد مورد نیاز را پیکربندی کردید ، می توانید GPO مورد نظر را به OU ای که سرورهای مورد نظر برای ایزوله سازی در آن قرار گرفته اند لینک کنید.


نتیجه گیری

ایزوله سازی سرورها یک سطح امنیتی و کنترل دسترسی است که مکمل تکنولوژی های امنیتی مانند آنتی ویروس ، فایروال و سیستم های تشخیص و جلوگیری از نفوذ می باشد.این قابلیت به شما اجازه می دهد که بتوانید از طریق Group Policy تنظیمات مربوط به ایجاد ، توزیع و مدیریت متمرکز Connection Security Rule ها را برای ایزوله سازی سرورها استفاده کنید. این نوع راهکار امنیتی از بهترین موارد امنیتی می باشد که دردسرهای چندانی در شبکه ایجاد نمی کند و در عین حال کاربران شبکه چندان متوجه اعمال چنین پارامتر امنیتی نخواهند شد. امیدوار هستم که این مقاله مورد توجه شما دوستان قرار بگیرد. ITPro باشید.

نویسنده : محمد نصیری
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#IPsec_در_ویندوز_سرور #سرویس_IPsec #راه_اندازی_IPsec_در_سرور_2008 #راه_اندازی_IPsec #ایزوله_کردن_سرورها
3 نظر
sam64

ممنون از مقاله خوبتون،چیزی که الان برا من گنگه اینه که شما وقتی رو سروری این پروتکل رو پیاده سازی میکنی حالا برا ارتباط با اون سرور تنها اون کامپیوترهایی میتونند به سرور مربوطه وصل شن که توی Endponit مشخص کردیم و کامپیوترهای دیگه نمیتونند؟؟؟ضمنا اگه اینطوره دیگه رمزنگاری چه معنی تو این پروتکل داره،چون شما اومدی تعیین کردی یه سری کامپیوترهای خاص این رول بهشون اعمال شه و اگه کامپیوتری تو لیست باشه اعمال میشه و نباشه اعمال نمیشه،پس نقش پروتکلهای رمزنگاری مثل sh1 و... چی هست توی این موردی که گفتم؟ممنون ازتون

محمد نصیری

دوست عزیز این کاملا بستگی به سطح امنیتی داره که شما میخاین برقرار کنید، رمزنگاری بسته به نوع پروتکی که شما انتخاب می کنید انجام میشه ، مثلا Kerberos خودش الگوریتم رمزنگاری داره ، من در این مقاله دو سطح امنیتی رو تعیین کردم ، یک اینکه چه کسانی بتونن وصل بشن با چه محدوده آدرس یا اسم کامپیوتری و همچنین اگر در این محدوده بودن با چه روشی احراز هویت بشن که در اینجا ما Kerberos رو انتخاب کردیم که داخل خودش رمزنگاری و TGT رو داره .

yaserjvani

با سلام

در بخش اخر مقاله صحبت از GPO شده من از این گزینه به روشی متفاوت استفاده کردم برای اعمال IPSEC

تمامی مراحل تا WINDOWS SETTING درست اما بعد از اون به SECURITY SETTING و سپس به IPSEC POLICY ON ACTIVE DIRECTORY رو میتونیم تظیم کنیم این دوتا روش با هم چه فرقی دارند

ممنون

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....