توجه: به دلیل محدودیت انجمن حداکثر 10 تصویر قابل نمایش می باشد. مابقی تصاویر حذف شده است. جهت مشاهده کامل لطفا از لینک منبع در انتهای مقاله استفاده نمائید.


IPSec چیست؟
ویکی پدیا: Internet Protocol Security یا به اختصار IPSec یک پروتکل برای تامین امنیت ارتباطات IP می باشد که این امنیت را توسط Authenitcaion (احراز هویت) و Ecryption (کد گذاری) به ازای هر Session از بسته های ارتباطی IP تامین می کند.
IPSec همچنین شامل پروتکل هایی است که با استفاده از کلید های کدگذاری شده برای احراز هویت و کد گذاری دو طرفه سمت گیرنده و فرستنده در ابتدای برقراری ارتباط و در طول مدت ارتباط اقدام می کند.

چرا از IPSec استفاده کنیم؟
• برای تامین امنیت مورد نیاز ارتباطات و یا برای ارتقای امنیت نرم افزارها
• این امکان را به شما می دهد که بر مبنی IP محدودیت هایی اعمال کنید و در لایه TCP/UDP با اینکه ممکن است نرم افزار شما آن را پشتیبانی نکند کدگذاری انجام دهید.

پیش نیاز ها:
• ورودی/خروجی پورتIP Protocol 50 (ESP)
• ورودی/خروجی پورت IP Protocol 51 (AH)
• ورودی/خروجی پورت UDP port 500
• انتخابی: پورت TCP/UDP 88 (در صورت Authentication)
• انتخابی: پورت UDP 4500 (NAT)


با استفاده از Windows Firewall with Advanced Security در دامنه Active Directory لازم است تمامی مراحل زیر را انجام دهید.

Identity Management یک Policy تحت عنوان CIT-IDM-MachineCertificateAutoEnrollment دارد که به هر کامپیوتری که در یک OU وجود دارد این اجازه را میدهد که یک گواهینامه IPSec به ازای هر کامپیوتر ایجاد کند.
1- یک GPO در OU مورد نظر خود که میخواهید توسط IPSec ایمن شود ایجاد نمائید. تمامی ServerFarm ها می بایست این GPO به آنها Link شده باشد.
2- مطمئن شوید این Policy به همه سیستم ها اعمال شده و با دستور gpupdate از به روزرسانی آن اطمینان حاصل کنید. (پیشفرض بروزرسانی 90 دقیقه می باشد)

ایجاد Connection Security Rule بر روی سرور
1- به سرور وارد شوید.
2- پنجره Windows Firewall with Advanced Security را باز کنید.
3- بر روی Connection Security Rule دکمه راست را بزنید و گزینه New Rule را انتخاب کنید.
4- گزینه Custom را انتخاب کنید و بر روی Next کلیک کنید.
5- در تب Endpoints این موارد را انجام دهید:
• در قسمت Endpoint1 آدرس IP یا آدرسهای IP سرور(های) خود را وارد کنید.
• در قسمت Endpoint2 آدرس IP یا آدرسهای IP کلاینت(های) خود را وارد کنید.
• بر روی Next کلیک کنید.
6- گزینه Require authentication for inbound and outbound connections را انتخاب و بر روی Next کلیک کنید.
7- در قسمت Authentication Method گزینه Advanced را انتخاب و Customize را بزنید.
8- در پنجره First Authentication Method گزینه Add را بزنید.
9- در پنجره Add First Authentication Method گزینه Computer certificate from this certificate authority را انتخاب و مراحل زیر را انجام دهید:
• Signing algorithm : (default)
• Certificate store type: (default)
• گزینه Browse را زده و مرجع صادر کننده گواهینامه را انتخاب کنید.
• بر روی OK کلیک کنید.
10- در پنجره Customize Advanced Authentication Methods بر روی OK کلیک کنید.
11- مجددا پنجره New Connection Security Rule Wizard: Authentication Method را مشاهده خواهید کرد. بر روی OK کلیک کنید.
12- در باکس To which ports and protocols does this rule apply سرویس ها و پروتکل های مورد نظر خود (برای مثال SMB, TCP 445) را انتخاب کنید و بر روی Next کلیک کنید.
از آنجایی که این سرویس فقط در Endpoint1 ارائه می شود، شماره پورت مورد نظر را وارد کنید و در قسمتEndpoint2 بر روی All Ports باشد.
13- در باکس When does this rule apply تمامی چک باکس ها فعال باشد و بر روی Next کلیک کنید.
14- یک نام برای این Rule انتخاب کنید و گزینه Finish را بزنید.

تنظیمات امنیتی سمت Client
1- به ماشین Client وارد شوید.
2- تمامی مراحل بالا را از مرحله 3 تا 14 برای کلاینت نیز تکرار کنید. (تمامی مراحل حتی قسمت Endpoint ها یکسان است)
3- ارتباط خود را تست کنید و مطمئن شوید کماکان فعال است.
نکته: ممکن است در ابتدای ارتباط شما یک وقفه وجود داشته باشد که این مورد به دلیل شروع Negotiation ارتباط می باشد.
4- در قسمت Monitoring شما می بایست ارتباط احراز هویت شده خود را فی ما بین سیستم ها مشاهده کنید.

5- توجه کنید در همین قسمت در زیر منوی Quick Mode مقدار ESP Encryption بر روی None است. این گزینه به این معنا می باشد که احراز هویت سیستم مقابل تامین شده است اما اطلاعات رد و بدل شده توسط IPSec ایمن نشده است!


تنظیمات فایروال سمت سرور
1- به سرور وارد شوید.
2- یک New Rule از قسمت Inbound Connections ایجاد کنید.

3- بر روی Custom کلیک کنید و به مرحله بعدی بروید.

4- گزینه All Programs را انتخاب کنید و به مرحله بعدی بروید.

5- پورت ورودی سمت سرور (مثلا 445 SMB) را انتخاب و به مرحله بعدی بروید.

6- آدرس IP های مورد نظر خود را مانند بالا انتخاب کنید و بر روی Next کلیک کنید.

7- گزینه Allow the connection if it is secure را انتخاب و سپس Customize را انتخاب کنید.

8- گزینه Require the connections to be encrypted را انتخاب و بر روی OK کلیک کنید.

9- در منوی Action بر روی OK کلیک کنید.
10- در منوی Users نیز OK را بزنید.
11- در منوی Computer نیز OK را بزنید.

12- در قسمت Profiles تمامی تیک ها را بزنید و به مرحله بعد بروید.
13- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تنظیمات فایروال سمت کلاینت
1- به کلاینت وارد شوید.
2- یک Rule جدید در قسمت Outbound Rules ایجاد کنید.

3- انتخاب گزینه Custom و سپس مرحله بعد.
4- انتخاب گزینه All Programs و سپس مرحله بعد.
5- گزینه Remote Port (در این مثال SMB 445) را انتخاب و به مرحله بعدی بروید.

6- آدرس IP های مورد نظر را انتخاب کنید.

7- گزینه Allow the connection if it is secure را انتخاب کنید و بر روی Customize کلیک کنید.
8- گزینه Require the connections to be encrypted را انتخاب کنید و OK را بزنید.

9- در منوی Action بر روی OK کلیک کنید.
10- در منوی Computer نیز OK را بزنید.
11- در قسمت Profiles تمامی تیک ها را بزنید و به مرحله بعد بروید.
12- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تست ارتباط نهایی
1- از سمت کلاینت ارتباط را تست کنید که فعال باشد.
2- در قسمت Windows Firewall -> Security Associations -> Quick Mode می بایست گزینه ESP Encryption دارای مقدار مورد نظر باشد. این نشانگر امنیت تبادل اطلاعات شماست.

مواردی که می بایست در نظر داشت:
• برای سیستم هایی که به دامنه متصل نیستند می توانید از PreShared Key استفاده کنید. این کلید ها بصورت یک متن ساده هستند که در سمت کلاینت و سرور ذخیره می شود. برای امنیت اطلاعات در یک شبکه کابلی کماکان مناسب است.

• در قسمت Connection Security Rule می بایست به جای Computer Certificate گزینه Use PreShared Key را انتخاب کنید.


• برای سیستم عامل های قدیمی تر از Vista استفاده از این امکان وجود ندارد. در صورت امکان سیستم خود را ارتقا دهید. در صورتی که امکان ارتقا ندارید می توانید از IPSec بر روی سیستم استفاده نمائید. در این روش فقط به ازای هر سیستم یک ارتباط می توانید تعریف کنید و امکان تعریف آن بصورت یک Rule در فایروال وجود ندارد. این روش برای یکبار تنظیم قابل استفاده است اما در یک سازمان Enterprise مناسب نیست مگر آنکه تمامی سیستم ها از یک تنظیمات استفاده نمائید.

• لینوکس و OSX نیز امکان IPSec دارند اما در سمت کلاینت به نرم افزارهای جانبی نیاز خواهید داشت.

• آدرسهای IPv6 بصورت پیشفرض شامل IPSec هستند و بصورت خودکار تنظیم می شوند.

lkfuIPSec چیست؟
ویکی پدیا: Internet Protocol Security یا به اختصار IPSec یک پروتکل برای تامین امنیت ارتباطات IP می باشد که این امنیت را توسط Authenitcaion (احراز هویت) و Ecryption (کد گذاری) به ازای هر Session از بسته های ارتباطی IP تامین می کند.
IPSec همچنین شامل پروتکل هایی است که با استفاده از کلید های کدگذاری شده برای احراز هویت و کد گذاری دو طرفه سمت گیرنده و فرستنده در ابتدای برقراری ارتباط و در طول مدت ارتباط اقدام می کند.

چرا از IPSec استفاده کنیم؟
• برای تامین امنیت مورد نیاز ارتباطات و یا برای ارتقای امنیت نرم افزارها
• این امکان را به شما می دهد که بر مبنی IP محدودیت هایی اعمال کنید و در لایه TCP/UDP با اینکه ممکن است نرم افزار شما آن را پشتیبانی نکند کدگذاری انجام دهید.

پیش نیاز ها:
• ورودی/خروجی پورتIP Protocol 50 (ESP)
• ورودی/خروجی پورت IP Protocol 51 (AH)
• ورودی/خروجی پورت UDP port 500
• انتخابی: پورت TCP/UDP 88 (در صورت Authentication)
• انتخابی: پورت UDP 4500 (NAT)


با استفاده از Windows Firewall with Advanced Security در دامنه Active Directory
لازم است تمامی مراحل زیر را انجام دهید.

Identity Management یک Policy تحت عنوان CIT-IDM-MachineCertificateAutoEnrollment دارد که به هر کامپیوتری که در یک OU وجود دارد این اجازه را میدهد که یک گواهینامه IPSec به ازای هر کامپیوتر ایجاد کند.
1- یک GPO در OU مورد نظر خود که میخواهید توسط IPSec ایمن شود ایجاد نمائید. تمامی ServerFarm ها می بایست این GPO به آنها Link شده باشد.
2- مطمئن شوید این Policy به همه سیستم ها اعمال شده و با دستور gpupdate از به روزرسانی آن اطمینان حاصل کنید. (پیشفرض بروزرسانی 90 دقیقه می باشد)

ایجاد Connection Security Rule بر روی سرور
1- به سرور وارد شوید.
2- پنجره Windows Firewall with Advanced Security را باز کنید.
3- بر روی Connection Security Rule دکمه راست را بزنید و گزینه New Rule را انتخاب کنید.

4- گزینه Custom را انتخاب کنید و بر روی Next کلیک کنید.

5- در تب Endpoints این موارد را انجام دهید:
• در قسمت Endpoint1 آدرس IP یا آدرسهای IP سرور(های) خود را وارد کنید.
• در قسمت Endpoint2 آدرس IP یا آدرسهای IP کلاینت(های) خود را وارد کنید.
• بر روی Next کلیک کنید.

6- گزینه Require authentication for inbound and outbound connections را انتخاب و بر روی Next کلیک کنید.

7- در قسمت Authentication Method گزینه Advanced را انتخاب و Customize را بزنید.

8- در پنجره First Authentication Method گزینه Add را بزنید.

9- در پنجره Add First Authentication Method گزینه Computer certificate from this certificate authority را انتخاب و مراحل زیر را انجام دهید:
• Signing algorithm : (default)
• Certificate store type: (default)
• گزینه Browse را زده و مرجع صادر کننده گواهینامه را انتخاب کنید.
• بر روی OK کلیک کنید.

10- در پنجره Customize Advanced Authentication Methods بر روی OK کلیک کنید.

11- مجددا پنجره New Connection Security Rule Wizard: Authentication Method را مشاهده خواهید کرد. بر روی OK کلیک کنید.
12- در باکس To which ports and protocols does this rule apply سرویس ها و پروتکل های مورد نظر خود (برای مثال SMB, TCP 445) را انتخاب کنید و بر روی Next کلیک کنید.
از آنجایی که این سرویس فقط در Endpoint1 ارائه می شود، شماره پورت مورد نظر را وارد کنید و در قسمتEndpoint2 بر روی All Ports باشد.
13- در باکس When does this rule apply تمامی چک باکس ها فعال باشد و بر روی Next کلیک کنید.

14- یک نام برای این Rule انتخاب کنید و گزینه Finish را بزنید.

تنظیمات امنیتی سمت Client
1- به ماشین Client وارد شوید.
2- تمامی مراحل بالا را از مرحله 3 تا 14 برای کلاینت نیز تکرار کنید. (تمامی مراحل حتی قسمت Endpoint ها یکسان است)
3- ارتباط خود را تست کنید و مطمئن شوید کماکان فعال است.
نکته: ممکن است در ابتدای ارتباط شما یک وقفه وجود داشته باشد که این مورد به دلیل شروع Negotiation ارتباط می باشد.
4- در قسمت Monitoring شما می بایست ارتباط احراز هویت شده خود را فی ما بین سیستم ها مشاهده کنید.

5- توجه کنید در همین قسمت در زیر منوی Quick Mode مقدار ESP Encryption بر روی None است. این گزینه به این معنا می باشد که احراز هویت سیستم مقابل تامین شده است اما اطلاعات رد و بدل شده توسط IPSec ایمن نشده است!


تنظیمات فایروال سمت سرور
1- به سرور وارد شوید.
2- یک New Rule از قسمت Inbound Connections ایجاد کنید.

3- بر روی Custom کلیک کنید و به مرحله بعدی بروید.

4- گزینه All Programs را انتخاب کنید و به مرحله بعدی بروید.

5- پورت ورودی سمت سرور (مثلا 445 SMB) را انتخاب و به مرحله بعدی بروید.

6- آدرس IP های مورد نظر خود را مانند بالا انتخاب کنید و بر روی Next کلیک کنید.

7- گزینه Allow the connection if it is secure را انتخاب و سپس Customize را انتخاب کنید.

8- گزینه Require the connections to be encrypted را انتخاب و بر روی OK کلیک کنید.

9- در منوی Action بر روی OK کلیک کنید.
10- در منوی Users نیز OK را بزنید.
11- در منوی Computer نیز OK را بزنید.

12- در قسمت Profiles تمامی تیک ها را بزنید و به مرحله بعد بروید.
13- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تنظیمات فایروال سمت کلاینت
1- به کلاینت وارد شوید.
2- یک Rule جدید در قسمت Outbound Rules ایجاد کنید.

3- انتخاب گزینه Custom و سپس مرحله بعد.
4- انتخاب گزینه All Programs و سپس مرحله بعد.
5- گزینه Remote Port (در این مثال SMB 445) را انتخاب و به مرحله بعدی بروید.

6- آدرس IP های مورد نظر را انتخاب کنید.

7- گزینه Allow the connection if it is secure را انتخاب کنید و بر روی Customize کلیک کنید.
8- گزینه Require the connections to be encrypted را انتخاب کنید و OK را بزنید.

9- در منوی Action بر روی OK کلیک کنید.
10- در منوی Computer نیز OK را بزنید.
11- در قسمت Profiles تمامی تیک ها را بزنید و به مرحله بعد بروید.
12- نامی را برای این Rule انتخاب کنید و Finish را بزنید.

تست ارتباط نهایی
1- از سمت کلاینت ارتباط را تست کنید که فعال باشد.
2- در قسمت Windows Firewall -> Security Associations -> Quick Mode می بایست گزینه ESP Encryption دارای مقدار مورد نظر باشد. این نشانگر امنیت تبادل اطلاعات شماست.

مواردی که می بایست در نظر داشت:
• برای سیستم هایی که به دامنه متصل نیستند می توانید از PreShared Key استفاده کنید. این کلید ها بصورت یک متن ساده هستند که در سمت کلاینت و سرور ذخیره می شود. برای امنیت اطلاعات در یک شبکه کابلی کماکان مناسب است.

• در قسمت Connection Security Rule می بایست به جای Computer Certificate گزینه Use PreShared Key را انتخاب کنید.


• برای سیستم عامل های قدیمی تر از Vista استفاده از این امکان وجود ندارد. در صورت امکان سیستم خود را ارتقا دهید. در صورتی که امکان ارتقا ندارید می توانید از IPSec بر روی سیستم استفاده نمائید. در این روش فقط به ازای هر سیستم یک ارتباط می توانید تعریف کنید و امکان تعریف آن بصورت یک Rule در فایروال وجود ندارد. این روش برای یکبار تنظیم قابل استفاده است اما در یک سازمان Enterprise مناسب نیست مگر آنکه تمامی سیستم ها از یک تنظیمات استفاده نمائید. اطلاعات بیشتر

• لینوکس و OSX نیز امکان IPSec دارند اما در سمت کلاینت به نرم افزارهای جانبی نیاز خواهید داشت.
• آدرسهای IPv6 بصورت پیشفرض شامل IPSec هستند و بصورت خودکار تنظیم می شوند.


منبع: تامین امنیت گردش اطلاعات با IPSec توسط فایروال ویندوز سرور - میزبانی زاگریو