精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>电脑技术>>● 计算机安全>>◇网络安全◇>>NTSERVER安全>>Windows 2000中的网际协议安全(IPSec) 上

主题:Windows 2000中的网际协议安全(IPSec) 上
发信人: yestamp(dragonfly)
整理人: starseacn(2001-09-06 11:24:57), 站内信件
网际协议安全(IPSec) 

  网际协议安全 (IPSec) 可以对专用网络和 Internet 攻击的主动保护,同时保持易用性。 并且,它是一套基于加密术的保护服务以及安全协议。 

  它采用端对端的安全保护模式,保护工作组、局域网计算机、域客户和服务器、距离很远的分公司、Extranet、漫游客户以及远程管理计算机间通讯的能力。  

  IPSec 作为安全网络的长期方向,是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议,您可以很容易地给现有网络部署 IPSec。 

  Windows 2000 的 IPSec 实现基于 Internet 工程任务组 (IETF) IPSec 工作组开发的工业标准。 

Windows2000的安全策略模式 

  更为强大的基于加密术的安全方法可能导致大幅度增加管理开销。Windows 2000 通过实现基于策略的网际协议安全 (IPSec) 管理避免了该缺陷。  

  可以使用策略而非应用程序或操作系统来配置 IPSec 。网络安全管理员可以配置多种 IPSec 策略,从单台计算机到 Active Directory 域、站点或组织单位。Windows 2000 提供集中管理控制台、IP 安全策略管理来定义和管理 IPSec 策略。在大多数已有网络中,可以配置这些策略为大多数交通类型提供各种级别的保护。 

IPSec 的数据保护方式 

  因为网络攻击可能导致系统停工、生产力损失和敏感数据的公开暴露,所以保护信息不被未经授权的第三方破译或修改是高度优先的事情。  

  网络保护策略一般都是集中在周界安全方面,通过使用防火墙、安全网关和拨号访问的用户身份验证来防止来自私有网外部的攻击。然而,它并不保护不受来自网络内部的攻击。 

  只集中在访问控制安全性(例如使用智能卡和 Kerberos)可能不会带来全面的保护,因为这些方法依赖于用户名和密码。有许多计算机是由多个用户共享使用的,由于它经常处于已登录状态而导致计算机的不安全。另外,如果一个用户名或密码已被攻击者截获,单单基于访问控制的安全性不会防止非法访问网络资源。  

  物理级的保护策略通常不使用,它保护物理的网线和访问点不被使用。然而,这好象不大可能保证整个网络路径的安全得到保护,因为数据将不得不从源到目的地传播。  

  一个完善的安全计划包含多个安全策略以获得深度的保护。其中的任何一个策略都可以和 IPSec 结合。这就通过保证发送端计算机在传输前,也就是每个 IP 数据包到达网线之前对其实施保护,而接收端计算机只有在数据被接收和验证之后再解除对数据的保护,从而提供了另一层安全性。  
网络安全 

  在 IP 传输层(网络层 3)实现 IPSec 会启用开销很小的高级保护。配置使用 IPSec 不需要更改已有的应用程序或操作系统。可以配置 IPSec 用于已有的企业方案,例如:工作组;局域网 (LAN):客户/服务器,对等网;远程访问:漫游客户、Internet 访问、Extranet、远程办事处。  

  其他在网络层3以上运行的安全机制(例如安全套接层,SSL)仅保护会使用 SSL 的应用程序,例如 Web 浏览器。必须修改所有其他的应用程序以使用 SSL 保护通讯。其他在网络层 3 以下运行的安全机制(例如链接层加密)仅保护该链接,而不必保护数据路径上的所有链接。这使得链接层加密无法适用于 Internet 或路由 Intranet 方案上的端对端数据保护。 

  在网络层 3 上执行的 IPSec 保护 TCP/IP 协议簇中所有 IP 和更高层的协议,例如 TCP、UDP、ICMP、Raw(协议 255),甚至保护在 IP 层上发送通讯的自定义协议。保护此层信息的主要好处是所有使用 IP 传输数据的应用程序和服务均可以使用 IPSec 保护,而不必修改这些应用程序和服务。(要保护非 IP 协议,数据包必须由 IP 封装。) 

IPSec 的密钥保护 

  IPSec 保护数据将让攻击者感到破解相当困难或根本不可能。算法和密钥的组合用于保护信息。通过使用基于加密的算法和密钥获得高安全级。算法是用来保护信息的数学过程,密钥是需要读取、修改或验证所保护数据的密码或数字。  

  IPSec 使用以下特性大幅度地阻止并减少网络攻击: 

自动密钥管理 

密钥生成 

  要启用安全通讯,两台计算机必须可以建立相同的共享密钥,而不能通过网络在相互之间发送密钥。IPSec 使用 Diffie-Hellman 算法启用密钥交换,并为所有其他加密密钥提供加密材料。 

  两台计算机启动 Diffie-Hellman 计算,然后公开或秘密(使用身份验证)交换中间结果。计算机从来不发送真正的密钥。通过使用来自交换的共享信息,每台计算机都生成相同的密钥。专家级用户可以修改默认密钥交换及数据加密密钥设置。 

密钥长度 

  每当密钥的长度增加一位,可能的密钥数会加倍,破解密钥的难度也会成倍加大。两台计算机之间的 IPSec 安全协商生成两种类型的共享密钥:主密钥和会话密钥。主密钥很长,有 768 位或 1023 位。主密钥用作会话密钥的源。会话密钥由主密钥通过一种标准方法生成,每种加密和完整性算法都需要会话密钥。 


----
Yestamp.net
网易虚拟社区上海站 收藏爱好斑竹
超级酷免费留言本 
[关闭][返回]