مهندس فرهانی

متن تستی میباشد

آدرس:تهران خیابان آزادی
تلفن:0912111111
ایمیل: mail@gmail.com

آموزش راه اندازی پروتکل IPSEC در ویندوز سرور

آموزش راه اندازی پروتکل IPSEC در ویندوز سرور

آموزش راه اندازی پروتکل IPSEC در ویندوز سرور|نحوه مدیریت IPSEC در Group Policy|آشنایی با انواع Authentication MethodsدرIPSEC|نحوه مدیریت تنظیمات IPSEC|آموزش دوره های مایکروسافت


تعریف IPSEC

پروتکلی است که بر روی سیستم عامل های ویندوزی مایکروسافت از سال 2000 به بعد فعال و مورد استفاده قرار گرفت. از این پروتکل به جهت کدگذاری و Encryption اطلاعاتی که بر روی بستر Lan یا Wan بین کامپیوترها در حال تبادل است.دقت کنید که این پروتکل تنها خاص Encryption نمی باشد و با توجه به الگوریتم ها و پروتکل های زیر مجموعه خود توانایی Authentication کردن را فراهم می کند.اما قبل از وارد شدن به این پروتکل باید با یک سری اصطلاحات که پیش زمینه درک IPSEC می باشد آشنا شوید.

این موارد به عنوان اصول امنیت محسوب می شود که 5 اصل می باشد اما در کتاب 2008 از این موارد فقط دو مورد بیان کرده است به این شکل که 4 اصل را در یک مورد و یک اصل را به صورت مجزا مطرح می کند.

  • Data Authentication
  • Data Origin

با استفاده از این اصل می توانید IPSEC را فعال کنید تا اطمینان حاصل کنید که Packet را که دریافت می کنید از طرف همان کسی باشد که باید Data را ارسال می کرد. این تعاریف را برای دو اصطلاحReliability or Confidence مطرح می گردد.

  • Data Integrity

اطمینان از این که دیتایی که توسط فرستنده ارسال شده است همان دیتایی باشد که توسط گیرنده دریافت شده است. زمانی مطرح می­شود که یک Connection دارای صداقت (Integrity) است منظور این می باشد که همان چیزی که طرف اول ارسال می­کند عیناً همان دیتا را طرف دوم نیز دریافت می­کند.

  • Anti-Reply Protection

در این مرحله IPSEC اطلاعات یا Packet دریافتی را چک می کند تا Unique باشد.

  • Encryption

به عنوان مهمترین قابلیت IPSEC محسوب می شود به دلیل کدگذاری اطلاعات تا در طول مسیر اگر اطلاعات توسط هکری Capture شود این اطلاعات قابل خواندن نباشد.پروتکل IPSEC از نوع پروتکل های Open Source می باشد به این معنی که خاص مایکروسافت نیست و شرکت های دیگر همانند Cisco هم از این پروتکل استفاده می کنند.

این پروتکل در ساختار خود از دو پروتکل زیر مجموعه تشکیل می شود

  • پروتکل (ESP (Encapsulation Security Payload:

این پروتکل از دو پروتکل به نام های Confidentiality به مفهوم محرمانه و Integrity به معنای تمامیت پشتیبانی می کند.

  • (AH (Authentication Header

از این پروتکل به جهت بحث Integrity و Authentication مورد استفاده قرار می گیرد. برای این موارد از پروتکل Kerberos و Certification بهره خواهد برد.

پروتکل IPSEC از دو الگوریتم در خصوص Confidentiality استفاده می کند که این دو به شرح زیر می باشد:

DES

3DES

بعد از ارائه سیستم عامل 2008 به بعد یک الگوریتم دیگری به نام AS ارائه شد.

پروتکل IPSEC در بحث Integrity از دو پروتکل به نام های SHA1 و MD5 استفاده می کند.

شماره پورتی که برای پروتکل IPSEC اختصاص داده شده است عدد 500 می باشد در بعضی از کتاب ها و مقالات این پروتکل با نام IKE هم معرفی می شود. علاوه بر این شماره پورت های مربوط به دو پروتکل ESP برابر 50 و برای پروتکل AH عدد 51 در نظر گرفته شده است.

چنانچه حضور ذهن داشته باشید در بحث VPN زمانی که می خواهید پروتکل L2TP و IPSEC  را استفاده کنید در هر دو حالت IPSEC وجود داشت به این صورت که درحالت L2TP این پروتکل بستر VPN را ایجاد می کرد و IPSEC اطلاعات را Encrypt و بر روی این بستر ارسال می کند.

با استفاده از IPSEC می توانید ارتباط بستر Lan داخلی را بر اساس IPSEC برقرار کنید. نمونه استفاده از این پروتکل در بستر Lan به جهت ارتباط DNS سرور می باشد. به این شکل که از این پروتکل برایZone Transfer بین DNS سرورها استفاده می شود تا Data تبادل شده در شرایط مطمئنی به سرورها ارسال شود.

سناریو

برای درک عملکرد IPSEC به تصویر زیر دقت کنید.

IPSEC
IPSEC

مشاهده می کنید کامپیوتر A در این ساختار قصد ارسال یک Data برای کامپیوتر B را دارد. و این Data باید به کمک پروتکل IPSEC به صورت Encrypted یا کدگذاری شده ارسال شود.

در تصویر مشخص است در اولین مرحله IPSEC Policy Agent Service اجرا خواهد شد که وظیفه این سرویس در کامپیوتر فرستنده در این سناریو این می باشد که از داخل Group Policy و در شاخهSecurity Policy تمامی پالسی های مربوط به IPSEC را اجرا و Load کند(در این حالت الگوریتم های احراز هویت و نوع کدگذاری اطلاعات را می توان مشخص نمود) در مرحله سوم سرویس اصلی IPSEC که با نام ISAKMP معرفی می شود قبل از هر چیزی بین کامپیوتر مبدا و مقصد در واقع Source و Destination عمل Negotiate یا مذارکره بر سر الگوریتم های کدگذاری و روشهای Authentication و مسائلی از این قبیل می کند.

زمانی که یک Data را Encrypted کنید و آن را ارسال نمایید پس در طرف دوم هم باید از این اطلاعات آگاهی داشته باشد تا بتواند Data  ارسالی از سمت شما را Decrypt کند.

روند Negotiate به این صورت می باشد که کامپیوتر Source در اولین گام بر سر پروتکل Authenticate مذاکره می کند تا یک روش مشترکی را برای خود مشخص نمایند که با استفاده از این پروتکل یکدیگر را شناسایی می کنند تا از معتبر بودن هر دو سمت اطمینان حاصل کنند و در مرحله بعد روش های Encryption و  Integrity را بررسی می نمایند. نهایتاً بعد از انجام مذاکره اطلاعات مورد نیاز به IP Security Driver داده می شود. منظور همان کارت شبکه کامپیوتر است. نهایتاً کارت شبکه بر مبنای الگوریتم انتخاب شده Data  را Hash و یا encrypt می کند و به سمت کلاینت مقصد ارسال می کند.

در همین حین بخش ISAKMP در کامپیوتر مقصد اطلاعات را به کارت شبکه خود ارسال می کند تا اطلاعات لازم در خصوص Decryption را اعلام کند. این کارت شبکه با استفاده از همان روش مقابل و کلیدی که بین این دو کامپیوتر در طول مذاکره ایجاد شده است Data را از کد خارج می کند و مستقیماً به لایه Application یا سیستم عامل که کامپیوتر B است تحویل می دهد.

تنظیمات IPSEC

برای دسترسی به تنظیمات IPSEC نیاز است که به تنظیمات Group Policy وارد شوید. با توجه به اینکه در این سناریو از کامپیوتر DC استفاده شده است دسترسی به کنسول Group Policy متفاوت می باشد. بعد از اجزای کنسول Group Policy Management بر روی نام Forest کلیک تا زیر شاخه های آن نمایش داده شود. در ادامه بر روی Domains کلیک و در زیر شاخه آن بعد از انتخاب نام Domain وارد تنظیماتDefault Domain Policy شوید و نهایتاً مطابق تصویرزیر بر روی آن راست کلیک و گزینه Edit را انتخاب کنید.

 

در ادامه کنسول group policy را در دسترس خواهید داشت. برای دسترسی به پالسی های IPSEC باید به مسیر زیر در داخل این کنسول مراجعه تا تصویرزیر را مشاهده کنید.

Computer configuration>policies>windows Setting>security setting>IP Security policies on Active Directory

 

IPSEC Policy
IPSEC Policy

در این کنسول سه پالسی در Level های متفاوت امنیتی در دسترس قرار دارد. می توانید از پالسی های موجود استفاده کنید و آنها را بر اساس نیاز خود تنظیم یا اینکه با راست کلیک کردن در این بخش و انتخاب گزینه Create IP Security Policy مطابق تصویرزیر اقدام به ایجاد یک پالسی جدید کنید.

در حالت معمول برای اینکه از این پالسی ها استفاده کنید می توانید بر روی آنها راست کلیک و با استفاده از گزینه Assign استفاده کنید.

در این حالت پالسی برای Domain اعمال می شود. اگر بخواهید این پالسی را لغو کنید همانند تصویرزیر مجدداً بر روی پالسی مورد نظر راست کلیک و گزینه Un-assign را انتخاب کنید.

معرفی Client Respond Only

تنظیمات پیش فرضی که برای این پالسی در نظر گرفته شده است به این صورت می باشد اگر این پالسی را اعمال کنید حالت معمول با کلاینت های شبکه ارتباط برقرار می کند. منظور ارتباط به صورت Clear Text است و چنانچه کلاینتی بخواهد ارتباط آن به صورت IPSEC باشد کلاینت ها می توانند با توجه به اینکه این پالسی را فعال نموده اید Session مربوط به آن ارتباط را به صورت IPSEC با طرف مقابل برقرار کنند.

معرفی Server Request Security

عملکرد این پالسی را می توان بر خلاف پالسی قبل دانست. در پالسی قبل سمت دیگر از شما می خواهد که با IPsec با آن ارتباط برقرار کنید اما با فعال کردن این پالسی از دیگر کلاینت ها می خواهید در صورت داشتن قابلیت IPSEC با استفاده از این پروتکل با شما ارتباط secure برقرار کنند. در شرایطی که سمت مقابل از این قابلیت پشتیبانی نکند ارتباط به صورت معمول برقرار می شود.

معرفی Secure Server Require Security

کامپیوتری که این پالسی را بر روی آن فعال می کنید فقط و فقط تحت پروتکل IPSEC مجاز به برقراری ارتباط است و تمامی Data  خود را به صورت Encrypt شده ارسال می کند.

معرفی تنظیمات Properties پالسی Server Request Security

برای دسترسی به تنظیمات هر یک از این پالسی ها باید بر روی آنها راست کلیک و گزینه Properties را انتخاب تا تصویرزیر نمایش داده شود.

مشاهده می کنید این تنظیمات در دو Tab متفاوت وجود دارد که در ادامه مورد بررسی قرار خواهد گرفت.

معرفی Rule Tab

این Tab به عنوان اصلی ترین تنظیمات می باشد به این دلیل که با استفاده از این Tab قوانینی که قرار است ارتباط Secure با دیگر کلاینت ها داشته باشد را تعریف می کند.

با استفاده از این Tab اول از هر چیزی می توانید نوع ترافیکی که می خواهید به صورت Secure باشد مشخص می کنید که در این خصوص می توانید نوع ترافیک را IP, ICMP و …. نهایتاً در این پروتکل می توانید تعریف کنید که این ارتباط به چه صورتی Secure برقرار شود.

به طور پیش فرض سه Rule برای ترافیک های IP, ICMP وDynamic ایجاد شده است.

در صورت نیاز می توانید با استفاده از گزینه Add یک Rule جدیدی را ایجاد یا اینکه همین Rule های موجود را ویرایش کنید. به طور نمونه Rule مختص به All IP Traffic را انتخاب و گزینه Edit را به منظور ویرایش انتخاب تا تصویرنمایش داده شود.

در این بخش چندین Tab متفاوت را مشاهده می کنید. در ادامه به معرفی هر یک خواهیم پرداخت.

معرفی IP Filter List

تنظیمات مربوط به این Tab در شکل فوق مشخص می باشد. اشاره شد قبل از هر چیز باید مشخص کنید که چه نوع ترافیکی را می خواهید Filter کنید. می توانید پروتکل TCP را به طور کامل انتخاب یا اینکه یک پورت خاصی از پروتکل TCP یا پروتکل ICMP و .. را مشخص کنید. در این بخش یکی از Rule های پیش فرض مختص به All IP Traffic است. اگر این Rule را انتخاب و گزینه Edit را کلیک کنید تصویرزیر را مشاهده می کنید.

در شکل فوق در قسمت IP Filter اطلاعاتی به شرح زیر ارائه می گردد:

از هرSource IP Address  به هر Destination و با کمک گیری از هر پورت و پروتکلی اگر Packet ارسال شد این ارتباط به صورت Encrypt برقرار شود.

اگر که بخواهید در این Rule تغییراتی اعمال کنید بایدRule  نوشته در بخش IP Filter را انتخاب تا گزینه Edit فعال شود. با زدن این گزینه تصویرزیر را مشاهده می کنید.

در این Tab منظور از Source IP Address کامپیوتر شما می باشد و منظور از Destination کامپیوترهای طرف مقابل ارتباط می باشد. گزینه Mirrored در صورت فعال شدن به معنی عمل معکوس می باشد یعنی از هر کامپیوتری به سمت کامپیوتر شما.

با توجه به این که شما در حال کارکردن بر روی پالسی  های Domain می باشید چنانچه گزینهAny IP Address را در بخش Source Address انتخاب کنید و در بخش Destination Address حالتAny Address را انتخاب کنید در Domain مشخص می کنید که تمامی ترافیک های ارتباطی بین کلاینت ها بر اساس IPSEC انجام شود.

نمونه دیگر اگر می خواهید که ارتباط DNS سرورهای موجود در Domain به صورن Secure برقرار شود باید در این بخش در قسمتSource  و  Destination Addressگزینه DNS Server Dynamic را همانند تصویرزیر تنظیم کنید.

در این حالت ارتباط تبادلی که فقط مختص DNS سرور است تحت IPSEC برقرار می شود و با توجه به Encryption که مشخص می کنید. حتی امکان اینکه ترافیک های بین دو Subnet را که تحت IPSEC برقرار شود.

در صورتی که به Protocol Tab مراجعه کنید تصویرزیر را مشاهده خواهید کرد.

در این قسمت تعریف شده است که از هر پروتکلی و هر شماره پورتی. اما می توانید نوع پروتکل و شماره پورت این Rule را تغییر دهید. به این صورت که در بخش Select a Protocol Type باید نوع پروتکل مورد نظر را انتخاب کنید.

معرفی Authentication Methods

در خصوص عملکرد پروتکل IPSEC اشاره شد دو کلاینت قبل از اینکه بخواهند ارتباطی را با یکدیگر برقرار کنند باید یک یکدیگر را Authenticate نمایند. برای این منظور باید در این Tab تنظیمات Authentication آنها مشترک باشد. تنظیم پیش فرض برای شناسایی پروتکل Kerberos می باشد.

در صورتی که گزینه Add را در این Tab انتخاب کنید می توانید سه روش Authentication را که مطابق تصویرزیر مشخص کنید.

با توجه به این که IPSEC در این سناریو بر روی Domain فعال شده است مسلماً از پروتکل احراز هویت مختص به Domain که Kerberos می باشد استفاده می کند. این روش Secure می باشد و می توانید از این مورد در حال معمول استفاده کنید.

نوع دیگری از احراز هویت مختص به CA سرور می باشد. در شرایطی که در ساختار شبکه CA Server را در اختیار دارید می توانید از این قابلیت برای احراز هویت استفاده کنید.

نوع سوم Authentication مختص به Preshared Key یا همان کلید دستی می باشد. به این صورت که با انتخاب این متد یک کلید که می تواند حرف یا عددی باشد را مشخص می کنید و در کامپیوتر مقابل هم همین تنظیم و همین کلید را تعریف می نمایید و بر این اساس این دو کامپیوتر با استفاده از این کلید که مشخص می کنید یکدیگر را Authenticate می کنند. استفاده از این روش تحت هیچ شرایطی پیشنها نمی شود چون به هیچ عنوان روش Secure نمی باشد.

این امکان وجود دارد که برای Authentication هر سه مورد را انتخاب کنید و با استفاده از کلیدهای up و  Downالویت استفاده از این پروتکل ها را مشخص کنید. این تغییر الویت می تواند در سرعت برقراری ارتباط شما و کلاینت های شبکه موثر باشد.

معرفی Filter Action Tab

با انتخاب این Tab تصویرزیر را مشاهده می کنید.

با استفاده از تنظیمات این Tab مشخص می کنید که عکس العمل پالسی که از آن Properties گرفته اید در چه حالتی قرار داشته باشد که در این خصوص یکی از سه حالت موجود در شکل را می توانید تنظیم کنید.

با استفاده از این Tab مشخص می کنید که اگر Data از این Source به سمت Destination ارسال شد با کمک چه الگوریتم و Authentication عمل Encryption بر روی آن انجام شود.

در صورتی که یکی از Filter Action های موجود را انتخاب و گزینه Edit را کلیک تا تصویرزیر را مشاهده کنید.

همان طور که در شکل مشاهده می کنید چندین Security Method به صورت پیش فرض در این بخش ارائه شده است.

به طور نمونه در اولین Method ارائه شده از پروتکل ESP و3DES  به جهت Confidentiality استفاده می کنید و جهت Integrity از پروتکل های ESP وSHA1  استفاده می کنید در صورتی که این روش مورد قبول واقع نشود به سراغ دومین روش خواهد رفت. حتی می توانید هر یک از اینSecurity Method های تعریف شده را تغییر دهید برای این منظور باید روش مورد نظر را انتخاب و گزینه Edit را کلیک تا تصویرزیر نمایش داده شود.

دو روش قابل انتخاب است و گزینه سوم به جهت Custom نمودن تنظیمات مورد استفاده قرار می گیرد.

در حالت اول شما را شناسایی و Data  ارسالی را کدگذاری می کند.

در حالت دوم فقط شما را شناسایی می کند اما Data ارسالی کدگذاری نمی شود.

با انتخاب گزینه Custom تصویرزیر را مشاهده می کنید.

در این بخش می توانید سه نوع تنظیم را انجام دهید. یکی اینکه در خصوص الگوریتم Integrity مشخص کنید در این حالت از کدام یکی SHA1 یا MD5 استفاده شود که اشاره به همان الگوریتم های AH دارد. یا در زمانی که هم Encryption وIntegrity  همزمان صورت می پذیرد اگوریتم Encryption از 3DES یا DES استفاده کند و نوع الگوریتم Integrity به چه صورتی باشد. این روش هم اشاره به الگوریتم ESP دارد. در بخش سوم این پنجره می توانید مشخص کنید تولید کلیدی که در Session بین دو طرف ایجاد می شود چند کیلو بایت باشد و این اینکه این کلید هر چند ثانیه یک بار تغییر و یک کلید جدیدی را ایجاد کند.

در پنجره قبل توجه کنید که می توانید Security Method های موجود را الویت بندی کنید که در این خصوص کلیدهای Move up وMove down  برای این کار قرار داده شده است. حتی می توانید با استفاده از گزینه Add اقدام به تعریف یک Security Method جدید کنید.

معرفی Tunneling Setting Tab

با انتخاب این Tab تصویرزیر را مشاهده می کنید.

Tunneling Setting Tab
Tunneling Setting Tab

 

اگر که می خواهید ارتباط IPSEC به صورت End to End برقرار شود به این مفهوم که می خواهید ارتباط بین شما که در نقش Source و Destination می باشد فقط برقرار شود می توانید از تکنیکی به نام Tunnel استفاده کنید.

در حالت معمول این قابلیت غیر فعال می باشد برای اینکه بتوانید ارتباط Tunnel برقرار کنید باید گزینه Tunnel end Points are specified by these IP Address را انتخاب کنید در این حالت دو گزینه مربوط به ip ورژن 4 و 6 فعال می شود و در بخش های مربوط باید IP Address طرف دوم یا Destination را مشخص کنید. البته این تنظیم دو طرفه می باشد و سمت دیگر هم باید همین تنظیمات را انجام دهد و باید IP Address سمت مقابل را در تنظیمات IPSEC خود معرفی کند.

این روش در سناریوهای VPN بسیار استفاده می شود.

معرفی Connection Type Tab

با انتخاب این Tab تنظیماتی که در تصویرزیر در دسترس است را می توانید اعمال کنید.

 

Connection Type Tab
Connection Type Tab

با استفاده از این تنظیمات مشخص می کنید که تنظیمات IPSEC که در Tab ها متفاوت اعمال نموده اید بر روی چه نوع Connection یا ارتباطی اعمال شود. در این خصوص سه نوع ارتباط را مشخص شده است.

در این تنظیمات Local Area Network)LAN) اشاره به ارتباطات داخلی شبکه شما دارد. گزینه Remote Access منظور ارتباطات شبکه های Wan می باشد و گزینه اول هم اشاره به تمامی ارتباط های Lan وWan  دارد. انتخاب نوع Connection بستگی به سناریوی شما دارد

معرفی General Tab

در صورتی که به یاد داشته باشید زمانی که شما به تنظیمات Properties  یک IPSEC Policy مراجعه می کنید دو Tab را در اختیار خواهید داشت که یک Tab مربوط به Rules و دیگری General است که در ادامه در خصوص General بحث خواهیم نمود. با انتخاب این Tab تصویرزیر را مشاهده می کنید.

General Tab
General Tab

در این بخش اسم انتخابی برای پالسی IPSEC مشخص شده است و می توان تعیین کرد هر چند دقیقه یکبار تنظیمات این Policy بازخوانی یا بررسی شود. با انتخاب گزینه Setting موجود در تصویرزیر را مشاهده می کنید.

با استفاده از تنظیمات این بخش مشخص می کنید که الگوریتم های Encryption و Integrity که در زمان مذاکره دو طرف استفاده می شود چه الگوریتم هایی باشد. دلیل انتخاب این می باشد که Authentication و مذاکره دو طرف IPSEC به صورت کد شده انجام می شود. با انتخاب گزینه Methods می توانید الگوریتم های مورد نظر را اضافه یا حذف کنید.

علاوه بر این مشخص می کنید که در زمان مذاکره دو طرف روش های Authentication بر اساس دقیقه  و Session این کلید ارتباطی مجدداً تغییر کند. در تنظیمات این بخش اصطلاحی به نام Diffie-Hellman Group وجود دارد که منظور طول کلید Encryption می باشد.


,راه اندازی IPSEC در Windows ,تامین امنیت گردش اطلاعات با IPSec توسط فایروال ویندوز سرور ,آموزش راه اندازی VPN سرور ویندوزی قسمت 1 : تعاریف فنی,ﻧﺼﺐ و راه اﻧﺪازي VPN Server در Windows Server 2008,آموزش راه اندازی L2TP VPN Server به همراه IPsec ,آموزش راه اندازی L2TP VPN Server به همراه IPsec در میکروتیک ,آموزش ویندوز سرور 2012 آموزش راه اندازی VPN و سرور VPN گروه ,‌آموزش ویندوز سرور 2012 راه اندازی VPN Server به همراه RADIUS,راه اندازی L2TP VPN ,آموزش نصب و راه اندازی VPN در ویندوز سرور 2008 ,Searches related to آموزش راه اندازی پروتکل IPSEC در ویندوز سرور

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Call Now Buttonتماس 09126453039