Обеспечение безопасности в сети с помощью IPSec
До сих пор в данном документе рассматривались проблемы безопасности, связанные с доступом пользователей к сетям на основе Windows 2000 и защитой информации на локальных дисках. Другой важной составляющей сетевой безопасности является защита данных, передаваемых по сети. Для этой цели служит включенный в Windows 2000 протокол IPSec (Internet Protocol security).
IPSec – это набор интернет-протоколов, позволяющих устанавливать безопасное зашифрованное соединение между двумя компьютерами в незащищенной сети. Шифрование осуществляется на сетевом уровне, что означает его прозрачность для большинства приложений, использующих особые протоколы сетевых соединений. IPSec обеспечивает безопасность соединений между узлами, то есть шифрует исходящие пакеты на передающем компьютере и расшифровывает их только на принимающем, делая невозможным анализ пакетов при их перехвате в сети. Кроме этого, в процессе шифрования применяются алгоритмы генерации единого ключа, используемого на обоих концах соединения, благодаря чему ключ не пересылается по сети.
IPSec можно настроить на выполнение одной или нескольких из следующих функций:
- Аутентификация отправителя IP-пакета на основе протокола Kerberos, цифровых сертификатов или общего секрета (пароля).
- Обеспечение целостности IP-пакетов, передаваемых по сети.
- Обеспечение полной конфиденциальности всех данных, пересылаемых по сети, с помощью шифрования.
- Сокрытие исходных IP-адресов на время передачи пакетов по сети.
Наличие этих возможностей позволяет обезопасить сетевой трафик от изменения данных в процессе передачи, а также от его перехвата, просмотра и копирования посторонними.
Как и другие политики безопасности, политики IPSec можно применять как локально, так и на уровне домена.