(при цьому вона зберігається в Active Directory), що усуває необхідність індивідуального конфігурування кожного комп'ютера. Однак, якщо комп'ютер має унікальні вимоги, або це автономний комп'ютер, політика може бути призначена безпосередньо. p> В· Прозорість безпеки IP для користувачів і прикладних програм. Не потрібно мати окремі програмні засоби безпеки для кожного протоколу в стеку TCP/IP, оскільки додатки, що використовують TCP/IP, передають дані рівню протоколу IP, де вони шифруються. Встановлена ​​і налаштована служба IPSec прозора для користувача і не вимагає навчання. p> В· Гнучкість конфігурування політики безпеки, яка допомагає вирішувати завдання в різних конфігураціях. Усередині кожної політики можна налаштувати служби безпеки, щоб забезпечити потреби на всіх рівнях, починаючи з рівня індивідуального користувача і закінчуючи рівнем серверів або підприємства. Політику можна конфігурувати відповідно з експортними правилами і обмеженнями. p> В· Конфіденційні служби, що запобігають спроби несанкціонованого доступу до важливих даних у час передачі цих даних між підтримують зв'язок сторонами. p> В· Туннелирование. Дані можуть бути послані через безпечні тунелі для обміну інформацією в Інтернеті і корпоративних мережах. p> В· Посилена служба аутентифікації, яка запобігає перехоплення даних шляхом підміни ідентифікаторів. p> В· Ключі великий довжини і динамічний повторний обмін ключами протягом поточних сеансів зв'язку, що допомагає захистити з'єднання від атак. p> В· Безпечний зв'язок від початку до кінця для приватних користувачів мережі всередині одного і того ж домену або через будь-який довірений (trusted) домен усередині корпоративної мережі. p> В· Безпечний зв'язок між користувачами в будь-якому домені корпоративної мережі, заснованої на протоколі IP. p> В· Галузевий стандарт IPSec відкритий для реалізації інших технологій шифрування IP, що дозволяє взаємодіяти з іншими платформами і продуктами. p> В· Сертифікати з -Відкритим ключем та підтримка ключів pre-shared (заздалегідь відомих). Це потрібен для дозволу встановлення безпечного зв'язку з комп'ютерами, які не є частиною довіреної домена. p> В· IPSec працює у взаємодії з іншими механізмами захисту, мережевими протоколами і базовими механізмами безпеки операційної системи. p> В· Підтримується шифрування повідомлень RSVP для реалізації служб QoS і ACS, тобто IPSec не заважає використовувати всі переваги пріоритетного управління шириною смуги пропускання, що забезпечуються цими службами. p> Можливості стандарту IPSec і подробиці реалізації дуже складні і описані детально в ряді RFC і проектів IETF, а також у документах Microsoft. IPSec використовує криптографічну захист для забезпечення управління доступом, цілісності без встановлення логічного з'єднання, посвідчення справжності даних, захисту від повторного використання, повної та обмеженої конфіденційності потоку даних. Оскільки протокол IPSec працює на рівні IP, його послуги доступні протоколах верхнього рівня в стеку і, очевидно, існуючим програмам.
IPSec дає системі можливість вибрати протоколи захисту, вирішити, який (які) алгоритм (и) використовувати для служб (и), а також встановлювати і підтримувати криптографічні ключі для кожної захищеного зв'язку.
IPSec може захищати шляху між комп'ютерами, між шлюзами захисту або між шлюзами захисту і комп'ютерами. Послуги, доступні і необхідні для трафіку, настроюються за використанням політики IPSec. Політика IPSec може бути налаштована локально на окремому комп'ютері або може бути призначена через механізм групових політик в Active Directory. Політика IPSec визначає, як комп'ютери довіряють один одному. Найпростіше - покладатися на застосування доменів довіри Active Directory, заснованих на протоколі Kerberos. Для того щоб довіряти комп'ютерам в тому ж самому або в іншому довіреному домені, задається зумовлена ​​політика IPSec.
Кожна датаграма на рівні протоколу IP порівнюється з набором фільтрів, надаваних політикою безпеки, яка підтримується адміністратором для комп'ютера, користувача, організаційної одиниці (OU) або всього домену. З будь датаграммой служби IP можуть виконати одну з трьох дій:
В· передати на обробку службам IPSec;
В· передати її без змін;
В· ігнорувати її. p> Установка IPSec включає опис характеристик трафіку для фільтрації (IP-адресу джерела/адресата, протокол, порт і т. д.) і визначення того, які механізми потрібно застосувати для трафіку, відповідного фільтру (фільтрам). Наприклад, в дуже простому випадку два автономних комп'ютера можуть бути налаштовані для використання IPSec між ними в одному і тому ж домені Active Directory і активізації політики блокування (lockdown). Якщо два комп'ютера - не елементи одного і того ж або довіреної домену, то довіра має бути конфігуроване з використанням пароля або ключа pre-shared в режимі "Закритий". Для цього виконуют...
