A hálózatvédelmi IPsec-kényszerítés a legjobb és legrugalmasabb módszer arra, hogy az ügyfélszámítógépek megfeleljenek a rendszerállapotra vonatkozó előírásoknak.
Az IPsec-kényszerítés hatására a hálózat azon számítógépei tudnak csak kommunikálni, amelyek kompatibilisnek minősültek és beszerezték az állapottanúsítványokat. Az IPsec és konfigurációinak rugalmassága lehetővé teszi, hogy ennek a hálózatvédelmi kényszerítési módszernek a segítségével IP-címenként és portszámonként meg lehessen határozni a kompatibilis ügyfelek közti biztonságos kommunikáció feltételeit. Az IP-biztonságról további információt a
Az IPsec-kényszerítés előnyei
Az IPsec-kényszerítés gyakran használatos olyan esetekben, amikor a 802.1X, DHCP, vagy a VPN-kényszerítésnél erősebb és robusztusabb kényszerítésre van szükség. Az IPsec-kényszerítés előnyei:
Illetéktelen módosítástól védett kényszerítés
Az IPsec-kényszerítést nem lehet a NAP-ügyfél újrakonfigurálásával kikerülni. A NAP-ügyfél a helyi számítógép beállításainak kezelésével nem kaphatja meg az állapottanúsítványt, illetve nem léphet kapcsolatba megfelelő számítógéppel, még akkor sem, ha helyi rendszergazdai jogosultságokkal rendelkezik. Az IPsec-kényszerítés nem kerülhető ki elosztók vagy virtuális számítógépes technológiák használatával sem.
Infrastruktúra-frissítésre nincs szükség.
Az IPsec-kényszerítés a TCP/IP protokollcsalád internetes rétegén működik, ezért független a fizikai hálózat infrastrukturális összetevőitől, vagyis az elosztóktól, kapcsolóktól és az útválasztóktól.
A hálózati hozzáférés kiszolgálónként és alkalmazásonként korlátozható
IPsec-kényszerítéssel a megfelelő számítógépek kapcsolatba tudnak lépni a nem megfelelő számítógépekkel, fordítva ez viszont nem működik.. A rendszergazda meghatározza az állapottanúsítvánnyal hitelesítendő és az IPsec-házirend beállításaival védendő forgalom típusát. Az IPsec-házirend lehetővé teszi IP-szűrők létrehozását, melyek a forrás IP-címe, a cél IP-címe, az IP-protokollszám, a TCP-célport és -forrásport, valamint az UDP-célport és -forrásport alapján meg tudják határozni a forgalmat. Az IPsec-házirend és az IP-szűrő megadásával kiszolgálónként és alkalmazásonként lehet korlátozni a hálózati hozzáférést.
Végpontok közötti nem kötelező titkosítás
Az IPsec-házirend beállításainak megadásával titkosíthatja az IP-forgalmat az IPsec-partnerek között nagyon érzékeny forgalom esetén. Az IEEE 802.11 szabványú vezeték nélküli helyi hálózatokkal ellentétben, amelyek csak a vezeték nélküli ügyfelektől, vezeték nélküli hozzáférési ponthoz érkező kereteket titkosítanak, az IPsec-titkosítás az IPsec-partnerszámítógépek között történik.
IPsec-kényszerítés és logikai hálózatok
Az IPsec-kényszerítés a fizikai hálózatot három logikai hálózatra osztja. Egy számítógép egyszerre csak egy logikai hálózatnak a tagja. A logikai hálózatok aszerint vannak definiálva, hogy mely számítógépek rendelkeznek állapottanúsítvánnyal, és mely számítógépek igényelnek IPsec-hitelesítést a bejövő kapcsolatteremtési kísérleteknél. A logikai hálózatok lehetővé teszik azoknak a számítógépeknek a hozzáférését, amelyek nem felelnek meg a rendszerállapotra vonatkozó előírásoknak, és nem biztosítják a megfelelő számítógépek nem megfelelő számítógépekkel szembeni kellő védelmét. Az IPsec-kényszerítés a következő logikai hálózatokat definiálja:
-
Biztonságos hálózat
A biztonságos hálózat számítógépei állapottanúsítványokkal rendelkeznek, és a bejövő kommunikációtól is megkövetelik az ilyen tanúsítványokkal történő hitelesítést. Közös IPsec-házirendbeállításokat használnak az IPsec védelmének biztosítása érdekében. Az Active Directory® infrastruktúra legtöbb kiszolgálója és ügyfélszámítógépe például biztonságos hálózatban lenne. A NAP állapotházirend-kiszolgálók, és az Active Directory tanúsítványszolgáltatásokat futtató kiszolgálók, valamint az e-mail kiszolgálók is általában a biztonságos hálózat összetevői.
-
Határhálózat
A határhálózat számítógépei rendelkeznek állapottanúsítványokkal, de a bejövő kapcsolatteremtési kísérletek IPsec-hitelesítése nem szükséges. A határhálózat számítógépeinek a hálózat minden számítógépéről elérhetőknek kell lenniük. Ilyen típusú számítógépek például az állapotjegyző kiszolgálók, a víruskereső-frissítési kiszolgálók, írásvédett tartományvezérlők és DNS-kiszolgálók; ezek olyan kiszolgálók, amelyek hozzáférnek NAP-ügyfélhez és felügyelik a NAP-ügyfél épségét, vagy egyéb módon biztosítanak hálózati szolgáltatásokat számítógépek számára a korlátozott jogú hálózaton. Mivel a határhálózat számítógépeinek nincs szüksége hitelesítésre és védett kommunikációra, ezért gyakran ellenőrizni kell, hogy nehogy a biztonságos hálózat számítógépeinek megtámadására használják őket.
-
Korlátozott jogú hálózat
A korlátozott jogú hálózaton található számítógépek nem rendelkeznek állapottanúsítványokkal. Ezek a számítógépek nem estek át állapotellenőrzésen, vendégek vagy hálózatvédelemre alkalmatlanok, mint például a hálózatvédelmet nem támogató Windows-verziót futtató, illetve Apple Macintosh- vagy UNIX-alapú számítógépek.
A következő ábrán egy IPsec logikai hálózat látható.
