Варианты использования IPSec
Протокол IPSec в Windows 2000 разработан таким образом, что при его внедрении сетевыми администраторами обеспечивается прозрачная для пользователей и приложений защита данных. В любом случае наиболее простым способом реализации безопасности доверительных доменных отношений является использование аутентификации Kerberos. Сертификаты или предварительные ключи могут быть использованы при отсутствии доверительных доменных отношений или при использовании средств межсетевого взаимодействия сторонних производителей. Вы можете использовать групповую политику IPSec для распространения конфигурации протокола IPSec на множество клиентов и серверов.
Безопасность серверов
В зависимости от того, как администратор конфигурирует сервер, безопасность IPSec для всей одноадресной передачи данных может быть либо запрашиваемой, но не обязательной, либо требуемой. При использовании этой модели, для ответов на запросы безопасности от серверов, клиентам достаточно применения политики по умолчанию. После того, как будут выполнены сопоставления безопасности IPSec (по одному в каждом из направлений) и установлено соединение между сервером и клиентом, это соединение будет оставаться активным еще в течение одного часа после того, как между ними был передан последний пакет данных.
По истечении этого часа клиентом аннулируется сопоставление безопасности, и он возвращается в изначальное состояние "только ответ". Если впоследствии клиент снова отправит пакеты открытым текстом на тот же сервер, то сервер восстановит безопасное подключение IPSec. Этот простейший способ обеспечивает безопасность, если начальные пакеты, отправляемые приложением на сервер, не содержат конфиденциальных данных и если политикой сервера разрешен прием незащищенных пакетов, отправляемых клиентами открытым текстом.
Предупреждение
Такая конфигурация подходит только для серверов, расположенных во внутренней сети, поскольку серверу, сконфигурированному политикой IPSec, разрешено принимать незащищенные пакеты, отправленные открытым текстом. Если сервер подключен к сети Интернет, то такая конфигурация использоваться не должна, поскольку в этом случае он не будет защищен от возможных атак на службу, отвечающую за возможность приема незащищенных пакетов (DoS атаки).
Изолированные серверы
Если сервер напрямую доступен из Интернета или если все пакеты, отправляемые клиентом, содержат конфиденциальные данные, то на клиенте должна быть применена политика IPSec, в соответствии с которой необходимо использовать IPSec при попытках отправки данных на сервер. В данном руководстве не будет рассмотрена такая конфигурация, но Вы можете ее создать, выполнив процедуры, описанные в разделе "Конфигурирование действий фильтров IPSec".
На клиентах и серверах могут быть сконфигурированы особые правила для разрешения, блокирования или защиты только конкретных пакетов (определенных протоколом или портом). Этот способ является наиболее сложным с точки зрения конфигурирования и выявления ошибок, поскольку он требует глубоких знаний типов сетевого трафика, используемых приложениями, и административного координирования для гарантии того, что на всех клиентах и серверах применены соответствующие политики.