[ Pobierz całość w formacie PDF ]
.Secure Server (Require Security) � stwierdza i� wszelka ��czno�� IP z i do celuzasad musi u�ywa� IPSec.W tym przypadku �wszelka� tak naprawd� oznacza, i�ca�a ��czno�� z i do komputerów i wszystko inne co u�ywa po��cze� IP musikorzysta� z IPSec lub zostanie zablokowana.W wi�kszo�ci przypadków nie tegochcieliby�my, poniewa� bardzo niewiele organizacji jest w staniezaimplementowa� sie� ca�kowicie opart� na IPSec.Server (Request Security) � kombinacja dwóch pozosta�ych zasad, która ka�ekomputerowi zawsze usi�owa� u�y� IPSec, ��daj�c takiej ��czno�ci przypo��czeniu ze zdalnym komputerem, oraz zezwalaj�c na ni�, gdy tego za��dapo��czenie nadchodz�ce.Je�li jednak drugi komputer nie obs�uguje IPSec, niezatrzyma to ��czno�ci.UwagaImplementacja IPSec tak naprawd� obejmuje kilka znacz�cych wyj�tków odobejmowanej ��czno�ci IP: rozg�oszenia, multiemisj�, Kerberosa, RSVP iISAKMP/IKE.Chocia� wszystkie te wyj�tki maj� jak najbardziej sens, abyzachowa� przydatno�� IPSec w �wiecie rzeczywistym, trzeba o nich pami�ta� abyunikn�� nieporozumie�.Wolno modyfikowa� wst�pnie zbudowane zasady, jak równie� tworzy� w�asne.Napodstawie du�ego do�wiadczenia z IPSec mog� powiedzie�, i� IPSec ma w sobieznacznie wi�cej, ni� wida� na pierwszy rzut oka.Mo�na wi�c spodziewa� si�, i�osi�gni�cie dok�adnie spodziewanych wyników mo�e zaj�� mnóstwo czasu.Nale�yzawsze zaczyna� powoli, korzystaj�c ze wbudowanych zasad IPSec zamiast tworzy�w�asne.Gdy ju� przydzielimy zgodne ze sob� zasady IPSec do dwóch lub wi�cejkomputerów, nale�y po�wi�ci� troch� czasu na zapoznanie si� z konsekwencjamistosowania IPSec i narz�dziem IPSECMON, pozwalaj�cym na zobaczenie co si�dzieje.Do tworzenia w�asnych zasad nale�y przej�� dopiero po zmuszeniu IPSecdo pracy i odrobinie eksperymentów.Ostrze�enieProsz� zda� sobie spraw� z dwóch niezbyt ciekawych szczegó�ów IPSec.Popierwsze, sposób implementacji IPSec wybrany przez Microsoft oznacza, i� niemo�na jej zastosowa� do DC i GC Active Directory � poniewa� logowanie klientówprzez IPSec nie jest obs�ugiwane.Wobec tego, IPSec mo�na stosowa� tylko wserwerach cz�onkowskich lub autonomicznych! Cho� jednak nie jest to wspieraneprzez Microsoft, mo�na tak pomanipulowa� konfiguracj�, by zmusi� IPSec do pracyz DC i GC Active Directory (wiem, gdy� tak robi�em), z wyj�tkiem inicjalnegoprzy��czania klientów do domeny.Ponadto IPSec na wymierny ujemny wp�yw na wydajno��, poniewa� wszelkie danemusz� przej�� przez procesor w celu szyfrowania i deszyfracji.Nie najlepiejs�u�y to szczególnie wysoko wydajnym serwerom, zoptymalizowanym dla komunikacjipomi�dzy sieci� a dyskami.W zale�no�ci od dok�adnych okoliczno�ci (czyliliczby równoczesnych u�ytkowników oraz wyboru protoko�u i algorytmówszyfrowania), przy zastosowaniu ��czno�ci przez IPSec mo�emy spodziewa� si�wzrostu obci��enia procesorów o jakie� 50 � 90%.Tabela 14.2 zawiera praktyczny pokaz tego do�� nieciekawego obrazu � w tymfakt, i� serwer zu�ywa wi�cej czasu na transfer danych przez szyfrowanie ideszyfracj� IPSec � i to z jednym tylko klientem.Nale�y jednak zwróci� uwag�,i� jest to najgorszy scenariusz, poniewa� 3DES dodaje wi�kszo�� obci��eniaprocesora.Jak wida�, w wi�kszo�ci scenariuszy nie tylko ro�nie znacz�coobci��enie procesora, lecz równie� zu�yty czas.Ze wzgl�du na ten powa�ny wp�yw na wydajno�� powinno si� zawsze u�ywa� kartsieciowych IPSec, pozwalaj�cych na pewne odci��enie procesora (ograniczaj�cpogorszenie wydajno�ci do 20 � 50%).Aby poradzi� sobie z dodatkowymobci��eniem, mo�na te� doda� kolejny procesor.Tabela 14.2Wyniki wydajno�ci w ró�nych scenariuszach komunikacji pojedynczego klienta zserwerem.Ca�y ruch sieciowy IPSec to ESP z szyfrowaniem 3DESKonfiguracja ��czno�ciAdapter sieciowy serweraAdapter sieciowy klientaDane wys�ane od klientaDane wys�ane z serweraCzas [min.]Obci��enie procesora [%]Przepustowo��Otwartym tekstemZwyk�yZwyk�y277 MB0 MB01:449,02903 kB/sOtwartym tekstemZwyk�yZwyk�y277 MB277 MB03:5314,22687 kB/sOtwartym tekstemIPSecZwyk�y277 MB0 MB01:489,13053 kB/sOtwartym tekstemIPSecZwyk�y277 MB277 MB02:2024,34592 kB/sIPSecZwyk�yZwyk�y277 MB0 MB04:5526,31089 kB/sIPSecZwyk�yZwyk�y277 MB277 MB12:5112,1847 kB/sIPSecIPSecZwyk�y277 MB0 MB02:5511,81991 kB/sIPSecIPSecZwyk�y277 MB277 MB04:1713,62472 kB/sIPSecIPSecIPSec277 MB0 MB02:2515,32205 kB/sIPSecIPSecIPSec277 MB277 MB02:4326,44389 kB/sOpcje IPSecIPSec mo�na skonfigurowa� do wykonywania jednej lub wi�cej z poni�szych funkcjizabezpiecze�:Zapewnienie integralno�ci pakietów danych IP przesy�anych przez sie�.Szyfrowanie wszystkich danych wysy�anych przez sie� z zapewnieniem pe�nejpoufno�ci.Ukrycie �ród�owych adresów IP w trakcie podró�y przez sie�.UwagaIPSec w Windows 2000 pozwala na uwierzytelnienie nadawcy pakietów danych IP woparciu o uwierzytelnianie Kerberosa, certyfikaty cyfrowe lub wspólny klucztajny (has�o).Obs�uga cyfrowych certyfikatów oparta jest na rozszerzeniu PKCS dla IPSec, wchwili obecnej nie w pe�ni standaryzowanym.Z mojego do�wiadczenia wynika te�,i� obs�uga ta nie jest jeszcze w pe�ni zdatna do u�ytku ze wzgl�du naniestabilne zachowanie od czasu do czasu.Do zapewnienia integralno�ci u�ywany jest protokó� o nazwie AuthenticationHeader (AH � nag�ówek uwierzytelniaj�cy)
[ Pobierz całość w formacie PDF ]
Linki
- Strona startowa
- r14 05 (17)
- R14 03 (7)
- R14 03 (2)
- Antologia Swiaty rownolegle
- COMA
- Obsługa dysku twardego
- Callison Brian Konwoj Stollenberga
- Belinda Alexandra Toskanska roza
- ebooks.PL.Anna.B.Kisiel Lowczyc. .Wspolczesna.Gospodarka.Swiatowa.(osiol.NET).www!OSIOLEK!com
- Anne Rice Ucieczka do Edenu [pl]
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- freerunner.xlx.pl