IPSec  Internet Protocol Security (IPSec) ver 4

 

Resource: Microsoft > TechNet Home > TechNet Security > Topics

Winteacher.com > Part2 > IPSEC > Server and Domain Isolation Using IPsec and Group Policy (Overview)

Server and Domain Isolation Using IPsec and Group Policy

استفاده از شبکه ها بدلیل امکان ارتباطات Wireless که به تازگی بسیار متداول شده این امر موجب بالا رفتن Risk شبکه می شود

وجود Connection های متفاوت و مختلف برای یک LAN می تواند درجه خطر را بالا برده در واقع امنیت شبکه کم شده یا به خطر می افتد .

در این قسمت دو روش منطقی برای Isolate کردن شبکه از خطر های احتمالی که وجود دارد را بررسی می کنیم اول Server Isolation و دوم Domain Isolation.

Server Isolation شما را مطمئن می کند از قبول کردن ارتباط توسط  Server فقط از سیستم های عضو Domain و یا یک گروه خاص از یک Domain .

Domain Isolation  شما را مطمئن که که Untrusted Connection ها به Domain شما متصل نشوند و اگر شدند جواب نگیرند.

 

این دو روش را مجزا از هم یا با هم می توانید بر روی شبکه خود طراحی و پیاده سازی کنید. 

در واقع یک IT Administrator در SERVER Iso و Domain Iso ارتباطات TCPIP سیستم های شبکه را کاهش می دهد یا در واقع محدود می کند .

این محدود کردن موجب می شود که سیستم های شبکه فقط با Client های عضو Domain ارتباط بر قرار کند که به آنها Trusted Computers گفته می شود 

یا اینکه با یک گروه از Client های عضو Domain ارتباط بر قرار کند که آن گروه نیز جزو Trusted Computers ها می باشد .

 

در این برقراری ارتباط Incoming های Client ها فقط Traffic هایی که از طرف Trusted Computer ها می آید را قبول می کند .

به دلیل اینکه IPSEC در لایه 3 شبکه فعالیت می کند ACL ها مشکلی برایشان پیش نمی آید در واقع عمل شناسایی در لایه 3 می باشد

و نه در لایه Application به همین دلیل تغییری در نرم افزار های شبکه لازم نمی باشد که اعمال شود . 

مواردی که در این صفحه وجود دارد به شرح زیر می باشد .

On This Page

1.The Business Benefits
2.Who Should Read This Guide
3.Related Resources
The Business Benefits

استفاده از این روش در  شبکه مزایای زیر را دارد :

Additional security. A logical isolation defense layer provides additional security for all managed computers on the network.
Tighter control of who can access specific information. By using this solution, computers will not automatically gain access to all network resources simply by connecting to the network.
Lower cost. This solution is typically far less expensive to implement than a physical isolation solution.
Increase in the number of managed computers. If an organization's information is only available to managed computers, all devices will have to become managed systems to provide access to their users.
Improved levels of protection against malware attacks. The isolation solution will significantly restrict the ability of an untrusted computer to access trusted resources. For this reason, a malware attack from an untrusted computer will fail because the connection will not be allowed, even if the attacker obtains a valid user name and password.
A mechanism to encrypt network data. Logical isolation makes it possible to require encryption of all network traffic between selected computers.
Rapid emergency isolation. This solution provides a mechanism to quickly and efficiently isolate specific resources inside your network in the event of an attack.
Improved auditing. This solution provides a way to log and audit network access by managed resources.
Additional Security

اولین مزایای این کار برای شما ایجاد یک لایه دفاعی جدید برای Computer های شبکه شما می باشد .

Tighter control of who can access specific information

در این روش مشخص می شود که کدام سیستم به کدام اطلاعات دسترسی دارد در اینجا دیگر اطلاعات برای همه باز نمی باشد .

Lower cost

این ویژگی مورد توجه مدیران می باشد این روش بسیار کم خرج تر از روشهای امنیتی دیگر می باشد .نیازی به سخت افزار خاصی نمی باشد.

Increase in the number of managed computers

در این روش کم یا زیاد کردن Computer ها به راحتی انجام می شود با کمترین پیکربندی .

Improved levels of protection against malware attacks

Malware به نرم افزارهای Hacker ها در اصطلاح گفته می شود  .این روش جلوگیری می کند از دسترسی Untrusted Computers ها به

Information سیستم های شبکه شما این عمل در قسمت Incoming سیستم های شما انجام می شود با این کار سیستم های ناشناس نمی توانند

با سیستم های شما Connection بر قرار کنند حتی اگر UserName و Password شما را داشته باشند .

A mechanism to encrypt network data or network Traffic

تمامی ترافیک موجود در Wire و یا کابل و درون Switch بصورت Encrypt شده عبور می کند .

البته بین سیستم های Trusted Computers منظور می باشد.

Rapid emergency isolation

سرعت بالا و قدرت بالا در دفع حمله از دیگر مزایای این روش می باشد .

Improved auditing

بهبود بخشی به عمل Auditing شبکه در این روش مشاهده می شود .در واقع کاملا مشخص می شود چه کسی به کجا دسترسی دارد و...

 
Who Should Read This Guide

در این قسمت شرح داده شده که چگونه باید مطالب  فصل ها را مطالعه کرد :

Chapter 1 is designed primarily for the business decision maker who is trying to determine whether their organization will benefit from a server and domain isolation project. Understanding the contents of this chapter requires no specific technical knowledge beyond the comprehension of an organization's business and security needs.
The planning chapters of this guide (Chapters 2, 3, and 4) are intended to be most helpful to the technical architects and IT professionals who will be responsible for designing a customized solution for an organization. A good level of technical understanding of both the technologies involved and the organization's current infrastructure is required to get the most benefit from these chapters.
Chapter 5 and the appendices are designed for the support staff that is responsible for creating the deployment plans for the organization's solution. Included in this guidance are a number of recommendations about the process of completing a successful solution deployment as well as practical implementation steps to create the test lab environment.
Chapter 6 of the guide is intended as a reference for the staff that is responsible for the day-to-day operations of the solution after it is implemented and fully operational. A number of operating processes and procedures highlighted in this chapter should be built into the organization's operations framework.
Chapter 7 provides information about troubleshooting a server and domain isolation deployment. Because IPsec fundamentally affects network communications, troubleshooting information and techniques can significantly help organizations that implement IPsec as part of this solution.

 

IPSec  Internet Protocol Security (IPSec) ver 4

LastUpdate:11/18/2005

Server and Domain Isolation Using IPsec and Group Policy