يعرّف إجراء التصفية متطلبات الأمان اللازمة لنقل البيانات. يمكن تعريف إجراءات التصفية عند إنشاء أحد النُهُج أو قبل القيام بإنشائه. تتوفر قوائم عوامل التصفية بالنسبة لأي نهج. لتعريف قائمة عوامل تصفية, انقر بالزر الأيمن للماوس فوق عقدة نهج أمان IP وحدد إدارة قوائم عوامل التصفية وإجراءات التصفية.
يمكن تكوين إجراء التصفية من أجل:
السماح بمعدل نقل البيانات
يقوم IPsec بتمرير نقل البيانات هذا إلى ومن برنامج تشغيل TCP/IP دون تعديل أو دون الحاجة للأمان. ويعد هذا مناسباً لمعدل نقل البيانات من أجهزة كمبيوتر غير قادرة على التعامل مع IPSec. احرص على تقليص قائمة عوامل تصفية IP إلى أدنى حد للنطاق عند استخدام هذا النوع من إجراءات التصفية, وذلك حتى لا تسمح بمعدل نقل بيانات ينبغي تأمينه.
يجب الأخذ في الاعتبار السماح لنقل بيانات ICMP لأغراض استكشاف الأخطاء وإصلاحها. قد تحتاج أيضاً إلى السماح لكمبيوتر غير موجود في المجال الخاص بك (على سبيل المثال، الكمبيوتر المستشار) بالوصول إلى كمبيوتر آخر في المجال. يمكنك استخدام السماح بإجراء التصفية للسماح بهذا الوصول.
هام | |
يتيح السماح بإجراء التصفية إمكانية الوصول دون مصادقة أو تكامل للبيانات أو تشفير. يتم منح إمكانية الوصول لأي شخص يستخدم كمبيوتر مزود بعنوان IP المحدد في قائمة عوامل التصفية. يتم إجراء كافة عمليات معدل نقل البيانات التي يتم نقلها بين أجهزة الكمبيوتر في شكل نص عادي، ولا يتم تنفيذ أي عمليات تحقق من التكامل. |
حظر معدل نقل البيانات
يتجاهل IPSec بصمت معدل نقل البيانات المحظور. عند استخدام حظر إجراء التصفية، تأكد من استخدام قائمة عوامل تصفية IP تعرِّف النطاق الصحيح لعناوين IP. يزيد استخدام نطاقات أكبر من فرصة حظر معدل نقل البيانات بين أجهزة كمبيوتر صحيحة.
مفاوضة الأمان
في حالة تمكين الخيار Accept unsecured communication, but always respond using IPSec، فسيحاول IPsec إجراء مفاوضة بشأن اقترانات الأمان (SA) وإرسال أو تلقي نقل بيانات IPsec المحمي. مع ذلك، إذا كان النظير لا يمكنه استخدام IPsec، فسيكون الاتصال مسموحاً به دون حماية IPsec. بعد اختيار إجراء التصفية هذا, يمكنك أيضاً تكوين ما يلي:
- أساليب الأمان وترتيبها. تعرف قائمة الأساليب هذه الترتيبَ الذي سيتم به محاولة استخدام تلك الأساليب. سيتم استخدام أول أسلوب ناجح ولن يتم محاولة استخدام الأساليب الأخرى. بشكل عام، ينبغي ترتيب العناصر داخل القائمة من العناصر ذات مستوى الأمان المرتفع إلى العناصر ذات مستوى الأمان المنخفض، وذلك حتى يتم استخدام أكثر الأساليب أماناً.
- قبول معدل نقل بيانات مبدئية واردة غير آمنة (قبول الاتصال غير الآمن مع الاستجابة دوماً باستخدام IPSec). يسمح IPSec بأن تكون الحزمة الواردة التي تطابق قائمة عوامل التصفية المكوّنة غير مؤمَّنة (أي غير محمية بواسطة IPSec). في حين, يجب حماية الاستجابة الصادرة للحزمة الواردة. يكون هذا الإعداد مفيداً عند استخدام قاعدة الاستجابة الافتراضية للعملاء. عندما يتم تكوين مجموعة من الخوادم بقاعدة تؤمن الاتصالات بأي عنوان IP وتقبل الاتصالات غير الآمنة, مع الاستجابة لاتصالات آمنة فقط, كما أن تمكين قاعدة الاستجابة الافتراضية على أجهزة الكمبيوتر العميلة يضمن استجابة العملاء لطلب الخادم مفاوضة الأمان. ينبغي تعطيل هذا الخيار لأجهزة الكمبيوتر الآمنة المتصلة بإنترنت لمنع هجمات رفض الخدمة.
- تمكين الاتصال من خلال أجهزة كمبيوتر غير ممكنة لاستخدام IPSec (السماح بالاتصال غير الآمن إذا تعذر إنشاء اتصال آمن). يعود IPSec إلى الاتصال غير الآمن عند الضرورة. ومرة أخرى, ينبغي تقليص حجم قائمة عوامل تصفية IP إلى أدنى حد للنطاق. أو, في حالة فشل التفاوض لأي سبب كان, فإن أية اتصالات متأثرة بالقاعدة الموجود بها إجراء التصفية هذا يمكن أن تؤدي إلى إرسال البيانات بدون تأمين. إذا كنت قلقاً بشأن الاتصالات غير الآمنة, فقد تفكر في تعطيل هذه الإعدادات. في حين, قد يتم حظر الاتصال بأجهزة الكمبيوتر التي يتعذر عليها بدء تشغيل IPSec, مثل الأنظمة القديمة. ينبغي تعطيل هذا الخيار لأجهزة الكمبيوتر الآمنة المتصلة بإنترنت لمنع هجمات رفض الخدمة.
- إنشاء مفاتيح جلسة عمل الوضع السريع من مادة إنشاء مفاتيح جديدة في الوضع الرئيسي (Session key perfect forward secrecy (PFS)). يضمن تمكين PFS لمفتاح جلسة العمل عدم استخدام مادة إنشاء المفاتيح الرئيسية في الوضع الرئيسي في اشتقاق أكثر من مفتاح جلسة عمل في الوضع السريع. عند تمكين PFS في الوضع السريع، يتم إجراء تبادل مفتاح Diffie-Hellman جديد لإنشاء مادة جديدة لإنشاء المفاتيح الرئيسية في الوضع الرئيسي قبل إنشاء مفتاح الوضع السريع الجديد. لا تتطلب PFS الخاصة بمفتاح جلسة العمل (الوضع السريع) إعادة مصادقة الوضع الرئيسي وهي تستخدم موارد أقل من PFS الخاصة بالمفتاح الرئيسي (الوضع الرئيسي).
أساليب أمان IPSec
يعرّف كل أسلوب أمان متطلبات الأمان الخاصة بأية اتصالات يتم تطبيق القاعدة المقترنة به عليها. يؤدي إنشاء أساليب أمان متعددة إلى زيادة فرصة العثور على أسلوب مشترك بين جهازي كمبيوتر. يقرأ مكون مفتاح إنترنت التبادلي (IKE) قائمة أساليب الأمان بترتيب تنازلي ويرسل قائمة بأساليب الأمان المسموح بها إلى النظير الآخر. يتم تحديد الأسلوب المشترك الأول. عادةً, يتم وضع الأساليب الأكثر أماناً على رأس القائمة، بينما يتم وضع الأساليب الأقل أماناً في أسفلها.
أساليب الأمان المعرفة مسبقاً
أساليب الأمان التالية معرفة مسبقاً:
التشفير والتكامل
استخدام بروتوكول ESP لتوفير سرية البيانات (التشفير) باستخدام الخوارزمية مقياس تشفير البيانات الثلاثي ((3DES) "خوارزمية التجزئة المؤمّنة 1" (SHA1) وأعمار المفاتيح الافتراضية (100 ميغا بايت (م.ب) ساعة واحدة). إذا تطلب الأمر حماية كل من البيانات والعنوان (رأس IP), فيمكنك إنشاء أسلوب أمان مخصص. إذا لم تكن تحتاج إلى التشفير, فاستخدم التكامل فقط.
التكامل فقط
يستخدم برتوكول ESP لتوفير تكامل البيانات والمصادقة عليها باستخدام خوارزمية التكاملSHA1 وأعمار المفاتيح الافتراضية (100 ميغا بايت (م.ب) ساعة واحدة). في هذا التكوين, لا يوفر ESP سرية البيانات (التشفير).
أساليب الأمان المخصصة
إذا كانت إعدادات "التشفير والتكامل" أو "التكامل" فقط المعرفة مسبقاً لا تفي بمتطلبات الأمان التي تريدها, يمكنك تحديد أساليب أمان مخصصة. على سبيل المثال, يمكنك استخدام أساليب مخصصة عند الحاجة إلى تحديد تكامل العنوان والتشفير أو خوارزميات أكثر قوة أو أعمار المفاتيح. عند تكوين أسلوب أمان مخصص, يمكنك تكوين ما يلي:
بروتوكولات الأمان
يمكن تمكين كل من AH (تكامل البيانات والعنوان بدون تشفير) و ESP (تكامل البيانات وتشفيرها) في أسلوب أمان مخصص عند طلب تكامل عنوان IP وتشفير البيانات. إذا اخترت تمكينهما معاً, فلن تحتاج إلى تحديد خوارزمية تكامل لـ ESP.
ملاحظة | |
يتعذر استخدام بروتوكول AH على أجهزة ترجمة عنوان الشبكة (NAT) لأنه يستخدم تجزئة الرأس. تقوم أجهزة NAT بتغيير الرأس، لذا فلن تقوم الحزمة بالمصادقة بطريقة صحيحة. |
خوارزمية التكامل
تشفير الرسالة 5 (MD5)، التي تستخدم مفتاح ذا 128 بت. لم تعد هذه الخوارزمية تعتبر آمنة، ويجب استخدامها فقط عندما تتطلب إمكانية التشغيل التفاعلي استخدامها.
SHA1, وهي تستخدم مفتاحاً ذا 160 بت. تعد تجزئة SHA1 أقوى من MD5، وهي متوافقة مع المقياس الفيدرالي لمعالجة المعلوماتFederal Information Processing Standard (FIPS).
خوارزمية التشفير
يعد 3DES الأكثر أماناً في تركيبات DES، ويعتبر أبطأ قليلاً في الأداء. تعالج 3DES كل كتلة ثلاث مرات, باستخدام ثلاثة مفاتيح فريدة ذات 56 بت.
يستخدم DES مفتاحاً مفرداً ذا 56 بت، ويُستخدم عندما يكون الأمان العالي والتحميل الزائد لـ 3DES غير ضروريين. لم تعد هذه الخوارزمية آمنة، وينبغي استخدامها فقط عندما تتطلب إمكانية التشغيل التفاعلي استخدامها.
تحدد إعدادات مفتاح جلسة العمل (الوضع السريع) وقت إنشاء مفتاح جديد وليس كيفية إنشائه. يمكنك تعيين عمر المفتاح بالكيلو بايت أو بالثواني أو بكليهما. على سبيل المثال، إذا استغرق الاتصال 10000 ثانية وقمت بتعيين عمر المفتاح إلى 1000 ثانية، فسيتم إنشاء 10 مفاتيح لإكمال عملية النقل. وهذا يضمن أنه حتى في حالة تمكن أحد المهاجمين من تحديد مفتاح جلسة عمل واحد وفك تشفير جزء من الاتصال, فإنه لن يتمكن من فك تشفير الاتصال بالكامل. يتم إنشاء مفاتيح جديدة في الوضع السريع لكل 100 ميغابايت من البيانات أو كل ساعة بشكل افتراضي. لاحظ أنه عندما يتم بلوغ أعمار المفاتيح، يتم تفاوض SA أيضاً بالإضافة إلى تحديث المفتاح أو إعادة إنشائه.
لإنشاء إجراء تصفية باستخدام مربع الحوار "خصائص القاعدة الجديدة" |
في علامة التبويب قواعد من مربع الحوار خصائص نهج أمان IP قم بإلغاء تحديد خانة الاختيار استخدام معالج الإضافة، وذلك عند الرغبة في إنشاء إجراء التصفية في مربع حوار الخصائص. عند الرغبة في استخدام المعالج، أبق خانة الاختيار محددة. انقر فوق إضافة. الإرشادات التالية خاصة بإنشاء قائمة عوامل تصفية باستخدام مربع الحوار.
في علامة التبويب إجراء التصفية من مربع الحوار خصائص القاعدة قم بإلغاء تحديد خانة الاختيار استخدام معالج الإضافة وانقر فوق إضافة.
في علامة التبويب أساليب الأمان ، حدد الأسلوب (الإجراء) الذي ستستخدمه القاعدة.
(اختياري) في علامة التبويب الوصف، اكتب وصفاً لإجراء التصفية. يمكن أن يساعدك هذا الوصف على فرز إجراءات التصفية ويتيح لك التعرف بشكل سريع على إجراء التصفية دون الحاجة إلى فتح خصائصه.
انقر فوق موافق.
كرر الخطوات من 4 إلى 8 لإضافة إجراءات تصفية إضافية إلى القائمة.
ملاحظة على الرغم من أن القائمة يمكن أن يكون بها العديد من إجراءات التصفية، إلا أنه يتم استخدام إجراء تصفية واحد فقط للقاعدة الواحدة.
في علامة التبويب إجراء التصفية ، حدد إجراء التصفية المناسب للقاعدة ثم انقر فوق موافق.
لإنشاء إجراء تصفية باستخدام إدارة قوائم عوامل التصفية ومربع حوار إجراءات التصفية |
انقر بالزر الأيمن للماوس فوق عقدة "نهج أمان IP" وحدد إدارة قوائم وإجراءات عوامل تصفية IP.
في علامة التبويب إدارة إجراءات التصفية ، قم بإلغاء تحديد خانة الاختيار استخدام معالج الإضافة عند الرغبة في إنشاء إجراء التصفية باستخدام مربع الحوار "خصائص". عند الرغبة في استخدام المعالج، أبق خانة الاختيار محددة. انقر فوق إضافة. الإرشادات التالية خاصة بإنشاء قائمة عوامل تصفية باستخدام مربع الحوار. الإرشادات أدناه لا يُستخدم فيها المعالج.
في علامة التبويب وسائل الأمان، حدد الأسلوب ثم انقر فوق موافق.
في حالة تحديد الخيار "مفاوضة الأمان"، يمكنك إضافة أساليب متعددة وتحديد الترتيب الذي سيتم تجريبها به. للقيام بذلك انقر فوق إضافة.
(اختياري) في علامة التبويب الوصف، اكتب وصفاً لعامل التصفية. يمكن أن يساعدك هذا الوصف في فرز عوامل التصفية ويتيح إمكانية التعرف بشكل سريع على عامل التصفية دون الحاجة إلى فتح خصائصه.
انقر فوق OK.
كرر الخطوات من 4 إلى 8 لإضافة إجراءات تصفية إلى القائمة.