Wymuszanie IPsec (Internet Protocol security) ochrony dostępu do sieci jest najsilniejszą i najbardziej elastyczną formą zachowania zgodności komputera klienckiego z wymaganiami dotyczącymi kondycji sieci.
Wymuszanie IPsec powoduje, że komunikacja w sieci zostaje ograniczona do komputerów, które są uważane za zgodne i uzyskały certyfikaty kondycji. Korzystając z protokołu IPsec i elastyczności jego konfiguracji, ten sposób wymuszania ochrony dostępu do sieci pozwala zdefiniować wymagania bezpiecznej komunikacji z klientami zgodnymi na podstawie adresu IP lub numeru portu. Aby uzyskać więcej informacji na temat protokołu IPsec, zobacz artykuł
Zalety wymuszania IPsec
Wymuszanie IPsec jest powszechnie używane, gdy zachodzi konieczność stosowania silniejszego i solidniejszego mechanizmu wymuszania od uwierzytelniania 802.1X, protokołu DHCP lub wymuszania stosowania sieci VPN. Wymuszanie IPsec przynosi następujące korzyści:
Wymuszanie odporne na próby naruszenia
Wymuszania IPsec nie można pominąć przez ponowne skonfigurowanie klienta ochrony dostępu do sieci. Klient ochrony dostępu do sieci nie może otrzymać certyfikatu kondycji ani zainicjować komunikacji ze zgodnym komputerem przez manipulowanie ustawieniami na komputerze lokalnym, nawet jeśli użytkownik ma uprawnienia administratora. Ponadto wymuszania IPsec nie można pominąć przez zastosowanie koncentratorów lub technologii komputerów wirtualnych.
Brak konieczności uaktualniania infrastruktury
Wymuszanie IPsec działa w warstwie Internetu pakietu protokołów TCP/IP i z tego powodu jest niezależne od składników infrastruktury sieci fizycznej, takich jak koncentratory, przełączniki i routery.
Ograniczenie dostępu do sieci na poziomie serwera lub aplikacji
Dzięki wymuszaniu IPsec komputery klienckie mogą inicjować komunikację z komputerami niezgodnymi, ale komputery niezgodne nie mogą inicjować komunikacji z komputerami zgodnymi. Administrator określa typ ruchu, który ma być uwierzytelniany za pomocą certyfikatu kondycji i zabezpieczany protokołem IPsec przez ustawienia zasad IPsec. Zasada IPsec zezwala na tworzenie filtrów IP określających ruch na podstawie źródłowego adresu IP, docelowego adresu IP, numeru protokołu IP, źródłowego i docelowego portu TCP oraz źródłowego i docelowego portu UDP. Dzięki zdefiniowaniu zasad IPsec i filtrów IP możliwe jest ograniczenie dostępu do sieci na poziomie serwera lub aplikacji.
Opcjonalne szyfrowanie typu end-to-end
Dzięki ustawieniom zasad IPsec można szyfrować ruch IP między elementami równorzędnymi IPsec dla ruchu niezwykle poufnego. W odróżnieniu od bezprzewodowych sieci lokalnych (LAN) IEEE 802.11, które szyfrują tylko ramki od bezprzewodowego klienta do bezprzewodowego punktu dostępu, szyfrowanie IPsec zachodzi między komputerami równorzędnymi IPsec.
Wymuszanie IPsec i sieci logiczne
Wymuszanie IPsec powoduje podział sieci fizycznej na trzy sieci logiczne. Komputer zawsze jest elementem członkowskim tylko jednej sieci logicznej. Sieci logiczne są definiowane w zależności od tego, czy komputery mają certyfikaty kondycji, czy wymagają uwierzytelniania IPsec dla przychodzących prób nawiązania połączenia. Sieci logiczne pozwalają ograniczyć dostęp komputerów, które nie spełniają wymagań dotyczących kondycji i zapewnić komputerom zgodnym określony poziom zabezpieczenia przed komputerami niezgodnymi. Wymuszanie IPsec określa poniższe sieci logiczne:
-
Sieć zabezpieczona
Komputery w sieci zabezpieczonej mają certyfikaty kondycji i wymagają, aby połączenia przychodzące były uwierzytelniane na ich podstawie. Używają one wspólnego zestawu ustawień zasad IPsec do ochrony IPsec. Na przykład większość serwerów i komputerów klienckich, które są elementami członkowskimi infrastruktury Active Directory®, znalazłaby się w sieci zabezpieczonej. Serwery zasad dotyczących kondycji ochrony dostępu do sieci, serwery z uruchomioną Usługą certyfikatów w usłudze Active Directory (AD CS) oraz serwery poczty e-mail są przykładowymi składnikami sieci, które normalnie znajdują się w sieci zabezpieczonej.
-
Sieć graniczna
Komputery w sieci granicznej mają certyfikaty kondycji, ale nie wymagają uwierzytelniania IPsec dla przychodzących prób nawiązania połączenia. Komputery w sieci granicznej muszą być dostępne dla komputerów w całej sieci. Takimi typami komputerów są serwery niezbędne do oceniania i korygowania kondycji klientów ochrony dostępu do sieci lub świadczenia innych usług sieciowych komputerom w sieci z ograniczeniami, takim jak serwery urzędu rejestrowania kondycji, serwery aktualizacji programów antywirusowych, kontrolery domen tylko do odczytu i serwery DNS. Ponieważ komputery w sieci granicznej nie wymagają uwierzytelniania i zabezpieczania komunikacji, zarządzanie nimi musi być ściśle kontrolowane, aby zapobiec ich użyciu do zaatakowania komputerów w sieci zabezpieczonej.
-
Sieć z ograniczeniami
Komputery w sieci z ograniczeniami nie mają certyfikatów kondycji. Są to komputery, które nie zakończyły sprawdzania kondycji, goście lub komputery nieobsługujące ochrony dostępu do sieci, np. komputery z uruchomionymi wersjami systemu Windows bez obsługi ochrony dostępu do sieci, komputery Apple Macintosh lub komputery z systemem UNIX.
Poniższy rysunek przedstawia przykład sieci logicznych IPsec.
