IPsec מהווה מסגרת של תקנים פתוחים להבטחת תקשורת פרטית ומאובטחת ברשתות IP, על-ידי שימוש בשירותי אבטחה מוצפנת. יישום IPSec ב- Microsoft Windows מבוסס על תקנים שפותחו על-ידי קבוצת העבודה של IPSec שנקראת Internet Engineering Task Force (IETF).
יישום IPsec יוצר אמינות ואבטחה מכתובת IP של המקור ועד כתובת IP של היעד. שני המחשבים היחידים שעליהם לדעת על התעבורה המאובטחת הם המחשב השולח והמחשב המקבל. כל מחשב מטפל באבטחה בקצה שלו, בהנחה שהאמצעי שדרכו מתבצעת התקשורת אינו מאובטח. מחשבים שתפקידם לנתב נתונים בלבד ממקור ליעד אינם נדרשים לתמוך ב- IPSec, אלא אם כן סינון מנות או תרגום כתובות רשת (NAT) מסוג חומת אש מתבצע בין שני המחשבים.
באפשרותך להשתמש ביישום ה- Snap-in מדיניות אבטחת IP כדי ליצור, לערוך ולהקצות מדיניות IPsec במחשב זה ובמחשבים מרוחקים.
הערה | |
תיעוד זה נועד לספק את המידע הנדרש כדי להבין את יישום ה- Snap-in מדיניות אבטחת IP ולהשתמש בו. מידע אודות עיצוב ופריסת המדיניות אינו כלול בתיעוד זה. |
אודות מדיניות IPsec
מדיניות IPsec משמשת להגדרת שירותי אבטחת IPsec. פריטי המדיניות מספקים רמות משתנות של הגנה עבור רוב סוגי התעבורה ברוב הרשתות הקיימות. באפשרותך לקבוע תצורה של פריטי מדיניות IPsec כך שיעמדו בדרישות האבטחה של מחשב, יחידה ארגונית (OU), תחום, אתר או ארגון גלובלי. ניתן להשתמש ביישום ה- Snap-in 'פריטי מדיניות אבטחת IP' המסופק בגירסה זו של Windows כדי להגדיר פריטי מדיניות של IPsec עבור מחשבים, באמצעות אובייקטי מדיניות קבוצתית (עבור חברים בתחומים) או במחשב המקומי או עבור מחשבים מרוחקים.
חשוב | |
ניתן להשתמש ביישום ה- Snap-in 'מדיניות אבטחת IP' כדי ליצור מדיניות IPsec שהחלתה תתאפשר במחשבים שבהם פועלים Windows Vista וגירסאות מתקדמות יותר של Windows, אך יישום Snap-in זה אינו משתמש באלגוריתמים החדשים של האבטחה ובתכונות חדשות אחרות הזמינות ב- Windows Vista ובגירסאות מתקדמות יותר של Windows. כדי ליצור מדיניות IPsec עבור מחשבים אלה, השתמש ביישום ה- Snap-in חומת האש של Windows עם רכיבי אבטחה מתקדמים. את המדיניות שיישום ה- Snap-in חומת האש של Windows עם רכיבי אבטחה מתקדמים יוצר לא ניתן להחיל על גירסאות קודמות של Windows. |
מדיניות IPsec כוללת כללים והגדרות כלליים של מדיניות IPsec. הגדרות כלליות של מדיניות IPsec חלות ללא תלות בכללים שנקבעו. הגדרות אלה קובעות את שם המדיניות, תיאורה עבור מטרות ניהוליות, הגדרות חילופי מפתחות ושיטות חילופי מפתחות. כלל IPsec אחד או יותר קובע אילו סוגי תעבורה על IPsec לבדוק, כיצד מתנהלת התעבורה, כיצד לאמת מחשב עמית של IPsec והגדרות אחרות.
לאחר שנוצרו פריטי המדיניות, ניתן להחילם ברמת התחום, האתר והיחידה הארגונית, וברמה המקומית. ניתן להפעיל מדיניות אחת במחשב בכל פעם. פריטי מדיניות המופצים ומוחלים בעזרת אובייקטי מדיניות קבוצתית עוקפים את פריטי המדיניות המקומיים.
משימות ביישום ה- Snap-in אבטחת IPsec
סעיף זה כולל חלק מהמשימות הנפוצות ביותר שייתכן שתבצע בעזרת יישום ה- Snap-in מסוג פריטי מדיניות אבטחת IP.
יצירת מדיניות
ככל הנראה יהיה עליך ליצור סדרה של פריטי מדיניות IPsec המתאימה לסביבת ה- IT שלך, אלא אם אתה יוצר פריטי מדיניות במחשב אחד ובעמית ה- IPsec שלו. תהליך העיצוב, היצירה והפריסה של פריטי המדיניות עשוי להיות מורכב, בהתאם לגודל התחום, אחידות המחשבים בתחום וגורמים אחרים.
ככלל, התהליך הוא כדלהלן:
- צור מסנן IP המתאים למחשבים, לרשתות המשנה ולתנאי הסביבה.
- צור פעולות סינון בהתאם לאופן הרצוי לאימות החיבורים, יישום תקינות הנתונים והצפנתם. כמו כן, פעולת הסינון עשויה להיות חסום או אפשר, ללא תלות בקריטריונים אחרים. לפעולת החסימה יש עדיפות על פני פעולות אחרות.
- צור סידרה של פריטי מדיניות המתאימה לדרישות (האבטחה) הנדרשות לסינון ולפעולת הסינון שברצונך לבצע.
- תחילה, פרוס פריטי מדיניות המשתמשים בפעולות סינון אפשר וחסום ולאחר מכן נטר את סביבת ה- IPsec עבור נושאים שעשויים לדרוש התאמה של פריטי המדיניות.
- פרוס את פריטי המדיניות באמצעות שימוש בפעולת הסינון נהל משא ומתן אודות אבטחה עם האפשרות לחזור למצב של תקשורת מסוג טקסט רגיל. פעולה זו מאפשרת לבחון את פעולת ה- IPsec בסביבה שבה אתה עובד מבלי להפריע לתקשורת.
- לאחר שתבצע את השינויים הנדרשים בפריטי המדיניות, בטל את פעולת החזרה למצב של תקשורת מסוג טקסט רגיל, בהתאמה. פעולה זו תגרום לפריטי המדיניות לדרוש אימות ואבטחה לפני שייווצר חיבור.
- נטר את סביבת העבודה כדי לאתר תקשורת שאינה מתקיימת. ייתכן שעלייה פתאומית בסטטיסטיקת הכשלים במשא ומתן במצב הראשי תעיד על כך.
כדי ליצור מדיניות IPsec חדשה |
לחץ באמצעות לחצן העכבר הימני על צומת מדיניות אבטחת IP ולאחר מכן לחץ על יצירת מדיניות אבטחת IP.
באשף מדיניות אבטחת IP, לחץ על הבא.
הקלד שם ותיאור (אופציונלי) של המדיניות ולאחר מכן לחץ על הבא.
בחר בתיבת הסימון הפעל את כלל התגובה המשמש כברירת מחדל או השאר אותה לא מסומנת ולאחר מכן לחץ על הבא.
הערה ניתן להשתמש בכלל התגובה המוגדר כברירת מחדל רק עבור מדיניות המוחלת על Windows XP ו- Windows Server 2003 וכן גירסאות קודמות. לגירסאות מתקדמות יותר של Windows אין אפשרות להשתמש בכלל התגובה המוגדר כברירת מחדל.
אם הנך משתשמש בכלל התגובה המשמש כברירת מחדל, בחר שיטת אימות ולאחר מכן לחץ על הבא.
לקבלת מידע נוסף אודות כלל התגובה המשמש כברירת מחדל, ראה כללי IPsec.
השאר את תיבת הסימון ערוך מאפיינים מסומנת ולאחר מכן לחץ על הבא. באפשרותך להוסיף כללים למדיניות בעת הצורך.
הוספה או שינוי של כלל למדיניות
כדי להוסיף כלל למדיניות |
לחץ באמצעות לחצן העכבר הימני על מדיניות IPsec ולאחר מכן לחץ על מאפיינים.
אם ברצונך ליצור את הכלל בתיבת הדו-שיח מאפיינים, נקה את תיבת הסימון השתמש באשף ההוספה. כדי להשתמש באשף, השאר את תיבת הסימון מסומנת. לחץ על הוספה. ההוראות הבאות מיועדות ליצירת כלל על-ידי שימוש בתיבת הדו-שיח.
בתיבת הדו-שיח מאפייני כלל חדש, בכרטיסיה רשימת מסנני IP, בחר ברשימת המסננים המתאימה או לחץ על הוספה כדי להוסיף רשימת מסננים חדשה. אם כבר יצרת רשימות מסננים, הן יופיעו ברשימה 'רשימות מסנני IP'. לקבלת מידע נוסף אודות יצירת רשימות מסננים ושימוש בהן, ראה רשימות מסננים.
הערה ניתן להשתמש ברשימת מסננים אחת בכל כלל.
בכרטיסיה פעולת סינון, בחר את פעולת הסינון המתאימה או לחץ על הוספה כדי להוסיף רשימת מסננים חדשה. לקבלת מידע נוסף אודות יצירת פעולות סינון ושימוש בהן, ראה פעולות סינון.
הערה ניתן להשתמש בפעולת סינון אחת בכל כלל.
בכרטיסיה שיטות אימות, בחר את השיטה המתאימה, או לחץ על הוספה כדי להוסיף שיטה חדשה. לקבלת מידע נוסף אודות יצירת שיטות אימות ושימוש בהן, ראה אימות IPsec.
הערה באפשרותך להשתמש במספר שיטות בכל כלל. החלת השיטות מתבצעת לפי הסדר שבה הן מופיעות ברשימה. אם ציינת שנעשה שימוש באישורים, מקם אותם יחד ברשימה לפי הסדר שבו ברצונך להשתמש בהם.
בכרטיסיה סוג חיבור, בחר בסוג החיבור שעליו ברצונך להחיל את הכלל. לקבלת מידע נוסף אודות סוגי חיבורים, ראה סוג חיבור IPsec
אם אתה משתמש במנהרה, ציין את נקודות הקצה בכרטיסיה הגדרות מנהרה. כברירת מחדל, לא נעשה שימוש במנהרה לקבלת מידע נוסף אודות שימוש במנהרה, ראה הגדרות מנהרה של IPsec. לא ניתן לבצע שיקוף לכללי מנהרה.
כשכל ההגדרות יושלמו, לחץ על אישור.
כדי לשנות כלל מדיניות |
לחץ באמצעות לחצן העכבר הימני על מדיניות IPsec ולאחר מכן לחץ על מאפיינים.
בתיבת הדו-שיח מאפייני מדיניות, בחר את הכלל ולאחר מכן לחץ על ערוך.
בתיבת הדו-שיח ערוך מאפייני כלל, בכרטיסיה רשימת מסנני IP, בחר ברשימת המסננים המתאימה או לחץ על הוספה כדי להוסיף רשימת מסננים חדשה. לקבלת מידע נוסף אודות יצירת רשימות מסננים ושימוש בהן, ראה רשימות מסננים.
הערה ניתן להשתמש ברשימת מסננים אחת בכל כלל.
בכרטיסיה פעולת סינון, בחר את פעולת הסינון המתאימה, או לחץ על הוספה כדי להוסיף רשימת מסננים חדשה. לקבלת מידע נוסף אודות יצירת פעולות סינון ושימוש בהן, ראה פעולות סינון.
הערה ניתן להשתמש בפעולת סינון אחת בכל כלל.
בכרטיסיה שיטות אימות, בחר את השיטה המתאימה, או לחץ על הוספה כדי להוסיף שיטה חדשה. לקבלת מידע נוסף אודות יצירת שיטות אימות ושימוש בהן, ראה אימות IPsec.
הערה באפשרותך להשתמש במספר שיטות בכל כלל. החלת השיטות מתבצעת לפי הסדר שבה הן מופיעות ברשימה.
בכרטיסיה סוג חיבור, בחר בסוג החיבור שעליו ברצונך להחיל את הכלל. לקבלת מידע נוסף אודות סוגי חיבורים, ראה סוג חיבור IPsec
אם אתה משתמש במנהרה, ציין את נקודות הקצה בכרטיסיה הגדרות מנהרה. כברירת מחדל, לא נעשה שימוש במנהרות. לקבלת מידע נוסף אודות שימוש במנהרה, ראה הגדרות מנהרה של IPsec.
כשכל ההגדרות יושלמו, לחץ על אישור.
הקצאת מדיניות
כדי להקצות מדיניות למחשב זה |
לחץ באמצעות לחצן העכבר הימני על המדיניות ולאחר מכן לחץ על הקצה.
הערות - ניתן להקצות מדיניות אחת בלבד במחשב בכל פעם. הקצאת מדיניות אחרת תבטל באופן אוטומטי את הקצאתה של המדיניות הנוכחית. מדיניות קבוצתית בתחום שלך עשויה להקצות מדיניות אחרת למחשב זה ולהתעלם מהמדיניות המקומית.
- כדי שמדיניות IPsec של מחשב-למחשב תהיה מוצלחת, עליך ליצור מדיניות משוקפת במחשב האחר ולהקצות את המדיניות לאותו מחשב.
- כדי להקצות מדיניות זו למחשבים רבים, השתמש במדיניות קבוצתית.