[ Pobierz całość w formacie PDF ]
.Secure Server (Require Security) — stwierdza i¿ wszelka ³¹cznoœæ IP z i do celuzasad musi u¿ywaæ IPSec.W tym przypadku „wszelka” tak naprawdê oznacza, i¿ca³a ³¹cznoœæ z i do komputerów i wszystko inne co u¿ywa po³¹czeñ IP musikorzystaæ z IPSec lub zostanie zablokowana.W wiêkszoœci przypadków nie tegochcielibyœmy, poniewa¿ bardzo niewiele organizacji jest w staniezaimplementowaæ sieæ ca³kowicie opart¹ na IPSec.Server (Request Security) — kombinacja dwóch pozosta³ych zasad, która ka¿ekomputerowi zawsze usi³owaæ u¿yæ IPSec, ¿¹daj¹c takiej ³¹cznoœci przypo³¹czeniu ze zdalnym komputerem, oraz zezwalaj¹c na ni¹, gdy tego za¿¹dapo³¹czenie nadchodz¹ce.Jeœli jednak drugi komputer nie obs³uguje IPSec, niezatrzyma to ³¹cznoœci.UwagaImplementacja IPSec tak naprawdê obejmuje kilka znacz¹cych wyj¹tków odobejmowanej ³¹cznoœci IP: rozg³oszenia, multiemisjê, Kerberosa, RSVP iISAKMP/IKE.Chocia¿ wszystkie te wyj¹tki maj¹ jak najbardziej sens, abyzachowaæ przydatnoœæ IPSec w œwiecie rzeczywistym, trzeba o nich pamiêtaæ abyunikn¹æ nieporozumieñ.Wolno modyfikowaæ wstêpnie zbudowane zasady, jak równie¿ tworzyæ w³asne.Napodstawie du¿ego doœwiadczenia z IPSec mogê powiedzieæ, i¿ IPSec ma w sobieznacznie wiêcej, ni¿ widaæ na pierwszy rzut oka.Mo¿na wiêc spodziewaæ siê, i¿osi¹gniêcie dok³adnie spodziewanych wyników mo¿e zaj¹æ mnóstwo czasu.Nale¿yzawsze zaczynaæ powoli, korzystaj¹c ze wbudowanych zasad IPSec zamiast tworzyæw³asne.Gdy ju¿ przydzielimy zgodne ze sob¹ zasady IPSec do dwóch lub wiêcejkomputerów, nale¿y poœwiêciæ trochê czasu na zapoznanie siê z konsekwencjamistosowania IPSec i narzêdziem IPSECMON, pozwalaj¹cym na zobaczenie co siêdzieje.Do tworzenia w³asnych zasad nale¿y przejœæ dopiero po zmuszeniu IPSecdo pracy i odrobinie eksperymentów.Ostrze¿enieProszê zdaæ sobie sprawê z dwóch niezbyt ciekawych szczegó³Ã³w IPSec.Popierwsze, sposób implementacji IPSec wybrany przez Microsoft oznacza, i¿ niemo¿na jej zastosowaæ do DC i GC Active Directory — poniewa¿ logowanie klientówprzez IPSec nie jest obs³ugiwane.Wobec tego, IPSec mo¿na stosowaæ tylko wserwerach cz³onkowskich lub autonomicznych! Choæ jednak nie jest to wspieraneprzez Microsoft, mo¿na tak pomanipulowaæ konfiguracj¹, by zmusiæ IPSec do pracyz DC i GC Active Directory (wiem, gdy¿ tak robi³em), z wyj¹tkiem inicjalnegoprzy³¹czania klientów do domeny.Ponadto IPSec na wymierny ujemny wp³yw na wydajnoœæ, poniewa¿ wszelkie danemusz¹ przejœæ przez procesor w celu szyfrowania i deszyfracji.Nie najlepiejs³u¿y to szczególnie wysoko wydajnym serwerom, zoptymalizowanym dla komunikacjipomiêdzy sieci¹ a dyskami.W zale¿noœci od dok³adnych okolicznoœci (czyliliczby równoczesnych u¿ytkowników oraz wyboru protoko³u i algorytmówszyfrowania), przy zastosowaniu ³¹cznoœci przez IPSec mo¿emy spodziewaæ siêwzrostu obci¹¿enia procesorów o jakieœ 50 – 90%.Tabela 14.2 zawiera praktyczny pokaz tego doœæ nieciekawego obrazu — w tymfakt, i¿ serwer zu¿ywa wiêcej czasu na transfer danych przez szyfrowanie ideszyfracjê IPSec — i to z jednym tylko klientem.Nale¿y jednak zwróciæ uwagê,i¿ jest to najgorszy scenariusz, poniewa¿ 3DES dodaje wiêkszoœæ obci¹¿eniaprocesora.Jak widaæ, w wiêkszoœci scenariuszy nie tylko roœnie znacz¹coobci¹¿enie procesora, lecz równie¿ zu¿yty czas.Ze wzglêdu na ten powa¿ny wp³yw na wydajnoœæ powinno siê zawsze u¿ywaæ kartsieciowych IPSec, pozwalaj¹cych na pewne odci¹¿enie procesora (ograniczaj¹cpogorszenie wydajnoœci do 20 – 50%).Aby poradziæ sobie z dodatkowymobci¹¿eniem, mo¿na te¿ dodaæ kolejny procesor.Tabela 14.2Wyniki wydajnoœci w ró¿nych scenariuszach komunikacji pojedynczego klienta zserwerem.Ca³y ruch sieciowy IPSec to ESP z szyfrowaniem 3DESKonfiguracja ³¹cznoœciAdapter sieciowy serweraAdapter sieciowy klientaDane wys³ane od klientaDane wys³ane z serweraCzas [min.]Obci¹¿enie procesora [%]PrzepustowoœæOtwartym tekstemZwyk³yZwyk³y277 MB0 MB01:449,02903 kB/sOtwartym tekstemZwyk³yZwyk³y277 MB277 MB03:5314,22687 kB/sOtwartym tekstemIPSecZwyk³y277 MB0 MB01:489,13053 kB/sOtwartym tekstemIPSecZwyk³y277 MB277 MB02:2024,34592 kB/sIPSecZwyk³yZwyk³y277 MB0 MB04:5526,31089 kB/sIPSecZwyk³yZwyk³y277 MB277 MB12:5112,1847 kB/sIPSecIPSecZwyk³y277 MB0 MB02:5511,81991 kB/sIPSecIPSecZwyk³y277 MB277 MB04:1713,62472 kB/sIPSecIPSecIPSec277 MB0 MB02:2515,32205 kB/sIPSecIPSecIPSec277 MB277 MB02:4326,44389 kB/sOpcje IPSecIPSec mo¿na skonfigurowaæ do wykonywania jednej lub wiêcej z poni¿szych funkcjizabezpieczeñ:Zapewnienie integralnoœci pakietów danych IP przesy³anych przez sieæ.Szyfrowanie wszystkich danych wysy³anych przez sieæ z zapewnieniem pe³nejpoufnoœci.Ukrycie Ÿród³owych adresów IP w trakcie podró¿y przez sieæ.UwagaIPSec w Windows 2000 pozwala na uwierzytelnienie nadawcy pakietów danych IP woparciu o uwierzytelnianie Kerberosa, certyfikaty cyfrowe lub wspólny klucztajny (has³o).Obs³uga cyfrowych certyfikatów oparta jest na rozszerzeniu PKCS dla IPSec, wchwili obecnej nie w pe³ni standaryzowanym.Z mojego doœwiadczenia wynika te¿,i¿ obs³uga ta nie jest jeszcze w pe³ni zdatna do u¿ytku ze wzglêdu naniestabilne zachowanie od czasu do czasu.Do zapewnienia integralnoœci u¿ywany jest protokó³ o nazwie AuthenticationHeader (AH – nag³Ã³wek uwierzytelniaj¹cy)
[ Pobierz całość w formacie PDF ]
Linki
- Strona startowa
- r14 05 (17)
- R14 03 (7)
- R14 03 (2)
- Antologia Swiaty rownolegle
- COMA
- Obsługa dysku twardego
- Callison Brian Konwoj Stollenberga
- Belinda Alexandra Toskanska roza
- ebooks.PL.Anna.B.Kisiel Lowczyc. .Wspolczesna.Gospodarka.Swiatowa.(osiol.NET).www!OSIOLEK!com
- Anne Rice Ucieczka do Edenu [pl]
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- freerunner.xlx.pl