1.บทนำ
Internet Protocol Security (Ipsec) IPsec เป็นส่วนเพิ่มขยายของ Internet Protocol (IP) ในชุดโพรโตคอล TCP/IP พัฒนาเพื่อเป็นส่วนหนึ่งของมาตรฐานของ IPv6 ซึ่งเป็นโพรโตคอลที่พัฒนาเพื่อใช้แทน IPv4 ที่ใช้ในปัจจุบันและกำหนดหมายเลข RFC เป็น RFC2401IPsec ใช้โพรโตคอล 2 ชุดคือ Authentication Header (AH) และ Encapsulated Security Payload (ESP) เพื่อรองรับการพิสูจน์ตัวตน(Authentication) การรักษาความถูกต้องของข้อมูล (Integrity) และการรักษาความลับ (Confidentiality) ในระดับชั้นของ IPsec เป็นส่วนเพิ่มขยายของ Internet Protocol (IP) ในชุดโพรโตคอล TCP/IP พัฒนาเพื่อเป็นส่วนหนึ่งของมาตรฐานของ IPv6 ซึ่งเป็นโพรโตคอลที่พัฒนาเพื่อใช้แทน IPv4 ที่ใช้ในปัจจุบันและกำหนดหมายเลข RFC เป็น RFC2401IPsec ใช้โพรโตคอล 2 ชุดคือ Authentication Header (AH) และ Encapsulated Security Payload (ESP) เพื่อรองรับการพิสูจน์ตัวตน(Authentication) การรักษาความถูกต้องของข้อมูล (Integrity) และการรักษาความลับ (Confidentiality) ในระดับชั้นของ IP
ในทางเทคนิคแล้ว IP Sec ประกอบด้วยสองส่วน ส่วนแรกคือส่วนที่อธิบายข้อมูลส่วนหัวที่เพิ่มเติมเข้าไปกับแพ็กเก็ตเพื่อ ใช้ในการเก็บรักษาความปลอดภัย(security identifier) ข้อมูลสำหรับการตรวจสอบความถูกต้องของข้อมูล ( Integrity control ) และข่าวสารที่จำเป็นอื่นๆ ส่วนที่สองคือ ISAKMP (Internet Security Association and Key Management Protocol)ซึ่งจะเป็นตัวจัดการเกี่ยวกับการจัดตั้งคีย์
โดยที่มาตรฐาน IPSec นี้ ถูกออกแบบมาเพื่อป้องกันการส่งข้อมูลจาก Hacker โดยที่มีการระบุปัญหาที่จะต้องทำการแก้ไขไว้5ข้อใหญ่ๆคือ
1.AccessControl
2.Connectionintegrity
3.Authenticationofdataorigin
4.Protectionagainstreplays
5. Traffic flow confidentiality
2.หลักการทำงาน
หลักการของ IPSec คือ การเพิ่ม IPSec Header เข้าไปใน Packet ของ TCP/IP โดยปกติแล้ว แพ็กเกจหนึ่งๆ จะประกอบด้วย IP Header , IP payload และเมื่อใช้ IPSec ส่วนของ IPSec Header ก็จะถูกผนวกเข้าไปในแพ็กเกจ ถือว่าเป็นการป้องกันในระดับ Network Layer ประโยชน์ของ IPSec ได้มีการนำมาประยุกต์ได้หลายประการ การประยุกต์ดังกล่าวได้แก่ การตรวจสอบความมีตัวตนที่แท้จริง (Authenticate)
1) IPSec ในระดับฮาร์ดแวร์
ในระดับฮาร์ดแวร์ IPSec หมายถึงการ์ดที่ผนวกเอาโพรเซสเซอร์ในการประมวลผล IPSec เข้าไปด้วยตามมาตรฐานของ 802.3 การเข้ารหัสและการถอดรหัสนั้นทำได้สองกรณีคือ กรณีที่การ์ดนั้นมี IPSec Enable processor ก็จะทำหน้าที่เข้ารหัสและถอดรหัสได้เลย แต่ถ้าหากไม่มีก็ต้องอาศัยโพรเซสเซอร์หลักของระบบคอมพิวเตอร์ในการเข้าการ ถอดรหัส
2) IPSec กับระบบปฏิบัติการ
ปัจจุบันระบบปฏิบัติการที่ทำงานกับเทคโนโลยี IPSec ได้นั้น มีเพียงวินโดวส์ 2000 เท่านั้นซึ่งไมโครซอฟต์ได้ประกาศตั้งแต่เริ่มต้นว่า ต้องการให้วินโดวส์ 2000 เป็นระบบปฏิบัติการที่ "ต่อเชื่อมทุกที่เพื่อเป็นการเสริมพลังในการทำงาน" และ IPSec ก็เป็นกุญแจหลักอันหนึ่งที่ทำให้ไมโครซอฟต์สามารถแสดงให้เห็นได้ว่าระบบ ปฏิบัติการของตัวเองนั้น มีความปลอดภัยในการนำไปใช้เป็นเครื่องมือในการทำธุรกรรมบนอินเตอร์เน็ต
โดยทั่วไป IPSec มีการเข้ารหัสสองแบบด้วยกันคือ แบบ tunnel และ transport ในรูปแบบ Tunnel จะทำการเข้ารหัสทั้งหัวของข้อความ (header) และข้อมูลในแต่ละแพ็คเก็ต (payload of each packet) ในขณะที่ตัว transport จะเข้ารหัสเฉพาะตัวข้อมูลเท่านั้น
- Transport mode คือ จะมีการเข้ารหัสเฉพาะส่วนของข้อมูล แต่ส่วนของง Header จะยังไม่มีการเข้ารหัส ซึ่งใน Mode นี้โดยส่วนมากจะนำไปทำงานร่วมกับโปรโตคอลอื่นๆ เช่น ร่วมกับโปรโตคอล L2TP
รูปที่1-1แสดง ภาพTransport mode(http://4842072017.multiply.com )
-Tunnel mode จะเป็นการเข้ารัหสทั้งส่วนของข้อมูลและ Header ซึ่งทำให้ข้อมูลมีความปลอดภัยสูงขึ้น
รูปที่1-2แสดง ภาพ Tunnel mode(http://4842072017.multiply.com )
การรักษาความถูกต้องของข้อมูลของ IP ดาตาแกรม (IP Datagram) ในชุดโพรโตคอล IPsec ใช้ Hash Message Authentication Codes หรือ HMAC ด้วยฟังก์ชันแฮชเช่น MD5 หรือ SHA-1 ทุกครั้งที่มีการส่งแพ็กเก็ตจะมีการสร้าง HMAC และใช้การเข้ารหัสไปด้วยทุกครั้ง เพื่อให้ปลายทางสามารถตรวจสอบได้ตามหลักการลายเซ็นดิจิตอลว่าต้นทางเป็นผู้ ส่งแพ็กเก็ตนั้นมาจริง
ส่วนการรักษาความลับของข้อมูลนั้น จะใช้การเข้ารหัส IP ดาตาแกรมด้วยวิธีการเข้ารหัสด้วยกุญแจสมมาตร ด้วยวิธีการมาตรฐานที่เป็นรู้จักกันดีเช่น 3DES AES หรือ Blowfish เป็นต้น
รูปที่1-3ภาพแสดงรูปแบบการใช้งาน IPsec(http://kachub.com )
3.สถาปัตยกรรมของIP sec
IPsecจะใช้โปรโตคอล2ชุดที่ให้บริการควบคุมและรักษาความปลอดภัยขณะที่มีการ สื่อสารกันของคู่สนทนาทั้งสองบนเครือข่ายคือ Authentication Header (AH) และ Encapsulated Security Payload (ESP) เพื่อรองรับการพิสูจน์ตัวตน(Authentication) การรักษาความถูกต้องของข้อมูล (Integrity) และการรักษาความลับ (Confidentiality) ในระดับชั้นของ IP Network Layer และโปรโตคอลที่สูงกว่านี้
3.1 AH หรือ Authentication Header
ทำหน้าที่รักษาความถูกต้องของ IP ดาตาแกรม โดยการคำนวณ HMAC กับทุก IP ดาตาแกรมและให้บริการตรวจสอบความถูกต้องบนการเชื่อมต่อแบบ Connectionless โดยจะตรวจสอบความถูกต้องของที่มาของข้อมูล รวมทั้งการป้องกันการทำซ้ำของข้อมูลจากบุคคลที่สามได้ สามารถจะรับรองได้ว่าข้อมูลที่ส่งจะไม่มีการแก้ไขระหว่างทาง
รูปที่1-4ภาพแสดงรูปแบบ Authentication Header(http://kachub.com )
เฮดเดอร์ของ AH มีขนาด 24 ไบต์ อธิบายได้ดังนี้
- Next Header ใช้เพื่อบอกให้ทราบว่ากำลังใช้รูปแบบใดในการใช้งาน IPsec ระหว่าง Tunnel mode ค่าจะเป็น 4 ส่วน Transport mode ค่าจะเป็น 6
- Payload length บอกความยาวของข้อมูลที่ต่อท้ายเฮดเดอร์ ตามด้วย Reserved จำนวน 2 ไบต์
- Security Parameter Index (SPI) กำหนด Security Association สำหรับใช้ในการถอดรหัสแพ็กเก็ตเมื่อถึงปลายทาง
- Sequence Number ขนาด 32 บิตใช้บอกลำดับของแพ็กเก็ต
- Hash Message Authentication Code (HMAC) เป็นค่าที่เกิดจากฟังก์ชันแฮชเช่น MD5 หรือ SHA-1 เป็นต้น
3.2 ESP หรือ Encapsulated Security Payload
ใช้สำหรับรักษาความถูกต้องของแพ็กเก็ตโดยใช้ HMAC และการเข้ารหัสร่วมด้วยและให้บริการการเข้ารหัสลับของข้อมูลข่าวสารรวมทั้ง การจำกัดปริมาณการไหลของการสื่อสารทั้งนี้เพื่อป้องกันแฮคเกอร์ที่อาจใช้ วิธีการที่เรียกว่า TCP Guessing หรือ TCP SYN Flood เข้ามาโจมตีคู่สนทนาได้
รูปที่1-5ภาพแสดง Encapsulated Security Payload(http://kachub.com/ )
- Security Parameter Index (SPI) กำหนด Security Association (SA) ระบุ ESP ที่สอดคล้องกัน
- Sequence Number ระบุลำดับของแพ็กเก็ต
- Initialization Vector (IV) ใช้ในกระบวนการเข้ารหัสข้อมูล ป้องกันไม่ให้สองแพ็กเก็ตมีการเข้ารหัสที่ซ้ำกันเกิดขึ้น
- Data คือข้อมูลที่เข้ารหัส
- Padding เป็นการเติม Data เพื่อให้ครบจำนวนไบต์ที่เข้ารหัสได้
- Padding Length บอกความยาวของ Padding ที่เพิ่ม
- Next Header กำหนดเฮดเดอร์ถัดไป
- HMAC ค่าที่เกิดจากฟังก์ชันแฮชขนาด 96 บิต
3.3 ปัญหาของ IPsec
ปัญหาหนึ่งของIPsecคือการส่งกุญแจที่ใช้ในการเข้ารหัสไปกับแพ็กเก็ตซึ่งจัด ว่าไม่ปลอดภัย นอกจากนี้การแลกเปลี่ยนกุญแจนำไปสู่ปัญหาของการดูแลระบบที่ใช้ IPsec เพราะทั้งระบบต้องสนับสนุนการใช้งานโพรโตคอล IPsec เดียวกัน จะทำอย่างไรให้สามารถส่งกุญแจในการเข้ารหัสไปกับแพ็กเก็ตถ้าไม่มีการเข้า รหัสแพ็กเก็ตแต่อย่างใด เพื่อแก้ปัญหาจึงได้พัฒนาโพรโตคอลในการแลกเปลี่ยนกุญแจหรือ Internet Key Exchange Protocol (IKE) IKE จะทำการพิสูจน์ตัวตนของปลายทางก่อนการสื่อสารในขั้นตอนถัดมาจึงสามารถแลก เปลี่ยนและตกลงSecurityAssociation และกุญแจในการเข้ารหัสได้ด้วยวิธีการแลกเปลี่ยนกุญแจตามวิธีการแลกเปลี่ยน กุญแจด้วยการใช้กุญแจสาธารณะเช่น Diffie-Hellmann เป็นต้น ซึ่งชุดโพรโตคอล IKE จะตรวจสอบกุญแจที่ใช้ในการเข้ารหัสระหว่างการติดต่อสื่อสารเป็นระยะตลอดการ สื่อสารข้อมูลที่เกิดขึ้นแต่ละครั้ง
3.4 ประโยชน์ของ IPsec
- มีการนำ IPSec มาใช้ที่ Firewall หรือ Router จะทำให้มีระบบความปลอดภัยที่แข็งแกร่ง ที่สามารถใช้ได้กับทุกการสื่อสาร
- เมื่อมีการใช้ IPSec กับ Firewall ทุกการสื่อสารจะไม่สามารถข้าม IPSec ได้ การติดต่อระหว่างภายในและภายนอกก็จะต้องทำโดยผ่าน IPSec เท่านั้น
- เนื่องจาก IPSec ทำงานอยู่ใต้ TCP และ UDP ดังนั้นแอปพลิเคชันที่ทำงานบน TCP และ UDP จึงต้องทำงานผ่าน IPSec ไปด้วย
- การทำงานของ IPSec ไม่กระทบกับผู้ใช้ โดยผู้ใช้จะไม่รับรู้ถึงการมีอยู่ของ IPSec เลย ดังนั้นจึงไม่ต้องเสียค่าใช้จ่ายในการสอนผู้ใช้
-IPSec สามารถจะสร้างความปลอดภัยในระดับผู้ใช้ได้ ซึ่งเป็นผลดีที่ทำให้สามารถจะระบุถึงผู้ใช้แต่ละคนที่เข้ามาใช้งานจากระยะ ไกลได้
3.5 ข้อดี-ข้อเสีย ของ IPsec
ข้อดี IP sec
1.เป็นระบบรักษาความปลอดภัย
2.สามารถป้องกันผู้บุกรุกมาเอาข้อมูลความลับขององค์กร หรือข้อมูลส่วนบุคคล โดยไม่ให้มองเห็นว่าใครกำลังส่งแพ็กเก็ตไปยังผู้ใด จำนวนมากน้อยเพียงใด
3.สามารถตรวจสอบความถูกต้องของข้อมูลได้อย่างแม่นยำ
4.ช่วยลดแพ็กเก็ตที่จะต้องส่งออกไปได้
5.ใช้ได้กับทุกเครือข่ายเพื่อรักษาความปลอดภัยของระบบนั้น
ข้อเสีย
1.เวลาที่จะส่งกุญแจที่ใช้ในการเข้ารหัสไปกับแพ็กเก็ตและการแลกเปลี่ยน กุญแจนำไปสู่ปัญหา ของการดูแลระบบที่ใช้ IP sec ซึ่งจัดว่าไม่ปลอดภัย
2.เมื่อเพิ่มIPheader พิเศษให้แก่ข้อมูลทำให้แพ็กเก็ตข้อมูลมีขนาดใหญ่มากขึ้นในทางกลับกัน Transport Mode จะไม่ส่งผลให้ขนาดของแพ็กเก็ตใหญ่ขึ้นเลย
3.อัลกอริทึมแบบคีย์สาธารณะทำงานได้อีกมาก เนื่องจาก IP sec ทำการเข้ารหัสด้วยการใช้คีย์สมมาตร
4.มีการติดตั้งได้ยาก เพราะมีการเข้ารหัสหลายกระบวนการ
5.การติดตั้งมีราคาค่อนข้างแพงในปัจจุบัน
3.6 การนำไปประยุกต์ใช้ในเชิงสร้างสรรค์
IP sec เป็นระบบรักษาความปลอดภัยของเครือข่ายของคอมพิวเตอร์ ซึ่งมีประโยชน์ในการป้องกันระบบความปลอดภัยของข้อมูล เป็นความรับของข้อมูลต่างๆ ไม่ว่าจะเป็นข้อมูลขององค์กร หรือข้อมูลส่วนบุคคล ปัจจุบันระบบอินเตอร์เน็ต ในยุคนี้ถือว่าได้เกิดขึ้นอย่างแพร่หลาย มีการสื่อสารกันได้อย่างกว้างขวางมากขึ้น และไม่มีพรมแดนใดกั้นขวางในการสื่อสารได้ จึงส่งผลให้ถือแลเชื่อมั่นได้ว่า การสื่อสารที่ไร้พรมแดนสามารถทำให้โลกแบนระนาบได้ เพราะมีการสื่อสารอย่างกว้างไกลและทั่วถึง กลุ่มที่ 39 จึงเล็งเห็นประโยชน์และการนำไปประยุกต์ใช้เชิงสร้างสรรค์ตามความคิดของกลุ่ม ได้ ดังนี้
1. IP sec อัศจรรย์ป้องกันผู้บุกรุก วิธีการ คือ จะใช้ IP sec ที่เรียกว่าระบบรักษาความปลอดภัยนี้ใส่ลงไปบนเครือข่ายของระบบคอมพิวเตอร์ ทุกระบบ สามารถนำไปใช้ได้ทั้งในประเทศ ต่างประเทศ บนอากาศ และชั้นใต้ดิน ก็สามารถจะใช้ระบบรักษาความปลอดภัยได้ เช่น เมื่อเราติดตั้งระบบนี้ในคอมพิวเตอร์ของเรา ถ้าหากมีบุคคลใดที่คิดไม่ดี หรือจะมาทำความเสียหายให้แก่ระบบข้อมูลของเรา หน้าจอก็จะแสดงแถบคลื่นความถี่ให้เห็นพร้อมกับลำเลียงเป็นจังหวะบอกเรา ว่าตอนนี้มีอันตรายและทำให้สามารถบอกจุดที่ตั้งที่ผู้ร้ายกระทำการและทำให้ จับได้ทันท่วงที โดยใช้การติดต่อแบบอินเตอร์เน็ตไร้สาย แค่เรากดปุ่ม ENTER เราก็จะเห็นการกระทำของคนร้ายเป็นวิดีโอเหมือนกล้องวงจรปิดผ่านทางหน้าจอ คอมพิวเตอร์ และสามารถระบุสถานที่ทำการอย่างละเอียดโดยคนร้ายไม่รู้
หรือถ้าคนร้ายปฏิบัติอย่างคาดไม่ถึง ไม่สามารถบอกสถานที่ผ่านทางหน้าจอได้ก็สามารถดักฟังทางโทรศัพท์ได้ คลื่นความถี่นี้จะขึ้นให้ได้ยิน เพียงเรากดปุ่มPOWER จะสามารถดักฟังคนร้ายได้ เป็นต้น
2. IP sec กับการป้องกันภัยทางซิมในมือถือ ปัจจุบันนี้โทรศัพท์มือถือได้ ผลิตออกมาหลายรุ่นและหลายรูปแบบ ซึ่งเป็นเทคโนโลยีความทันสมัยอย่าง
หนึ่ง นับวันยิ่งจะมีขนาดเล็กและมีราคาที่แพงในขณะกำลังมีความนิยมอาจจะเป็นหมื่น หรือหลายหมื่นบาทเลยทีเดียว จึงเป็นที่ล่อตาล่อใจของคนร้าย นับวันเป็นต้นอาชญากรรมยิ่งทวีความรุนแรงมากขึ้นเพราะสังคมไทยยังมีคนจนอยู่ มากที่ต้องการความสะดวกสบายเหมือนคนที่ฐานะดีกว่า จึงทำให้เกิดการวิ่งราว จี้ ปล้นเอามา บางครั้งถึงกับฆ่าชิงทรัพย์ และการป้องกันภัยทางซิมมือถือนี้ ยังสามารถจับกุมคนร้ายมาลงโทษตามกฎหมายได้ โดยในซิมจะมีคลื่นตรวจจับความถี่ที่สามารถจดจำรูปร่าง หน้าตา และระบุแหล่งที่ตั้งของคนร้ายติดตามไปกับโทรศัพท์ที่โดนขโมย หรือ
ถ้าคนร้ายถอดซิมออกก่อนหลบหนี คลื่นแม่เหล็กในซิมจะสแกนลายนิ้วมือของผู้ร้ายขณะกำลังจับซิม ไม่ว่าคนร้ายจะใส่ถุงมือจับก็สามารถสแกนได้ พอสแกนจะบอกตำแหน่งที่คนร้ายกบดานผ่านทางความถี่แรงสูง หรือถ้าผู้อื่นจะมาใช้โทรศัพท์องเราจะมี
การล็อคการใช้งานถึง 2 ชั้น โดยเจ้าของเครื่องกำหนดขึ้นเอง 1 รหัส และในเครื่องจะให้
อีก 1 รหัส ซึ่งเจ้าของเครื่องรู้ได้เพียงผู้เดียว ซึ่งข้อมูลจะขึ้นหน้าจอคอมพิวเตอร์ เป็นต้น
3.IP sec กับการตรวจจับป้องกันการคอรัปชั่นของนักการเมือง จะมีการรักษาความปลอดภัยของระบบโดยที่ตรวจจับความผิดจะติดตั้งมากับอุปกรณ์ ทุกชนิดในสถานที่รัฐบาล เช่น ติดตั้งตามโต๊ะ เก้าอี้ หรือสิ่งของที่มีอยู่ในองค์กร สถานที่ต่างๆ ทุกจุด เพื่อเชื่อมเข้ากับคลื่นความถี่ตรวจจับการผิดปกติ หรือการคอรัปชั่นได้ทุกรูปแบบ ด้วยระบบรักษาความปลอดภัยของ IP sec ผ่านทางหน้าจอคอมพิวเตอร์ เป็นต้น
4.IP sec กับการป้องกันความผิดปกติในเด็กทารกโดยดูจากการร้องไห้
โดยในเด็กแรกเกิดมักจะเป็นโรคการร้องไห้บ่อยกว่าปกติในช่วง 3 เดือนแรก เราก็จะมีระบบรักษาความปลอดภัย ซึ่งจะเป็นชิปเล็กๆ ติดไว้บนลำตัวของเด็ก 1 ตัว ไม่มีผลข้างเคียงใดๆ และชิปนี้จะส่งสัญญาณความถี่ผ่านทางหน้าจอคอมพิวเตอร์โดยส่งรังสีเอ็กซ์ตรวจ จับความผิดปกติในเด็กและระบุโรคออกมาเป็นข้อๆอย่างแม่นยำ ผ่านหน้าจอโดยระบบรักษาความปลอดภัย
IP sec เป็นต้น
5. IP sec กับการป้องกันการทุจริตในห้องสอบ นำอุปกรณ์ที่จะส่งผ่านคลื่นตรวจจับความถี่บนโต๊ะและเก้าอี้ทุกตัวในห้องสอบ ซึ่งสามารถเห็นพฤติกรรมของผู้สอบได้รอบตัว ถ้ามีการทุจริตไม่ว่าจะทำโดยวิธีใด สัญญาณจะตรวจจับและส่งผลเข้าไปในหน้าจอคอมพิวเตอร์ และบอกระบุ ห้อง โต๊ะ สถานที่ตั้งอย่างชัดเจน ซึ่งมีความแม่นยำสูง เป็นต้น
3.7 การสื่อสารอย่างปลอดภัยด้วย IPsec
-การกระจาย IPsec
ทุกเวอร์ชั่นของ Windows ตั้งแต่ Windows 2000 รองรับ IPSec บนพื้นฐาน IETF ซึ่ง IPSec ทำงานบน IPSec policies ซึ่งมีการติดต่ออย่างปลอดภัย
ส่วนประกอบ IPSec
มีดังนี้
- IPSec Policy Agent เป็นเครื่องที่อ่านข้อมูลจาก IPSec Policy
- Internet Key Exchange (IKE) เป็นการสร้าง diffie-Hellman key ที่สร้าง Security Association (SA) ซึ่ง IKE จะส่งสองสถานะคือ เฟสหนึ่ง SA จะเจรจาติดต่อกันด้วย Encryption algorithm, Hashing algorithm และ authentication method และเฟสสอง SAs หนึ่งในทิทางที่ติดต่อ และมีการแลกเปลี่ยนคีย์
- IPSec driver เป็นค่าที่เตรีมเพื่อส่งข้อมูล IPSec packets เพิ่ม AH และ ESP header
การวางแผนการกระจาย IPSecเราต้องทราบถึงความแตกต่างระหว่าง AH กับ ESP header ซึ่งการใช้ทั้งสองจะเป็นการเพิ่มการจราจรในเครือข่าย และใช้แรงเครื่องมากขึ้น ซึ่งการติดต่อธรรมดาอาจจะไม่ใช่เรื่องดีนักที่จะใช้ ดังนั้นเราต้องมีความเข้าใจในเรื่องความปลอดภัยก่อนที่รองรับ และทดสอบ IPSec และการวางระบบกับการเข้ากันได้ของระบบ
-การทำงานกับ IPSec Policies IP Security Policies snap-in จะเป็นเครื่องมือในการจัดการโดยกำหนดใน GPO Editor ซึ่งถ้ากำหนดในเครื่องทั่วไปใช้ Local Security Policy การกำหนดชนิดต่างๆที่ใช้เราสามารถที่ใช้โครงสร้าง AD กับ GPO ที่กำหนดได้รวมถึงการถ่ายทอดมรดกตามความสามารถ GPO ใน ADการใช้ Default IPSec Policiesใน Windows Server 2003 มีค่าที่กำหนดไว้ 3 รายการคือ
- Client (Respond Only) เป็นการกำหนดให้เริ่มติดต่อด้วย IPSec และตอบกลับกับเครื่องที่ ขอด้วยความปลอดภัย
- Secure Server (Require Security) เป็นการกำหนดต้องการความปลอดภัยในการติดต่อตลอดในการสื่อสาร ถ้ามีใครที่ไม่รองรับ IPSec ก็จะไม่ติดต่อ
- Server (Request Security) เป็นการกำหนดให้ร้องขอกับการสื่อสารเครื่องอื่น ถ้ามีเครื่องที่รองรับ IPsec ก็จะติดต่อ ถ้าไม่รองรับก็จะติดต่อแบบไม่ปลอดภัยเราสามารถเลือกรูปแบบที่เหมาะสมกับความ ต้องการได้เช่น ข้อมูลที่อ่อนไหวใช้ Secure ServerRequest Security ไม่รองรับความปลอดภัยสูงสุดเราสามารถแก้ไข IPSec Policies ได้ซึ่งค่าที่แก้ไขมี 3 รายการคือ
- Rules กำหนดการกรอง IP และการกรองกิจกรรม ซึ่งสามารถกำหนดได้หลายกฎ
- IP filter lists เป็นการเก็บค่าการจราจรของระบบที่ป้องภัยกับ IPsec บน IP addresses, protocols, หรือ Port numbers
- Filter action เป็นการกำหนดกิจกรรมการกรอง ซึ่งเราจะให้ข้อมูลที่ติดต่อถูกต้องในการเลือกการเข้ารหัสการกำหนดใช้ IPSecurity Policies snap-in และใช้ wizard ในการสร้าง Rules, filter lists, และ Filter actions
3.8 การแก้ปัญหาความปลอดภัยการขนส่งข้อมูล
เมื่อการสื่อสารมีปัญหาเราต้องทราบสาเหตุในการกำหนดค่าที่ไม่เหมาะสม ในส่วน ประกอบ ของ IPSec บนเครื่องทั้งสอง และกำหนดตรวจสอบค่าติดตั้งบนเครื่อง และความเข้ากันได้ ซึ่งใช้ IPSec Security Monitor snap-in และ Resultant Set of Policy (RSoP) snap-ins
การแก้ปัญหาที่ไม่ตรงกันเราพบว่าปัญหาใน IPSec คือความเข้ากันได้ของ IPSec policies หรือค่าติดตั้ง Policy เราสร้าง IPSec policies เราสามารถที่จะติดต่อสื่อสาร และกำหนดกิจกรรมในเครื่องทั้งสองให้ตรงกัน โดยมีการเข้ารหัส และอัลกอริทึมที่เหมาะสม ตรงกันการพิจารณาค่าที่ไม่ตรงกันในการสื่อสารที่มีปัญหา เราจะใช้ Security log ใน Event viewer ในการดู IKE negotiation ที่มีปัญหา เครื่องมือที่ใช้อื่นๆในการตรวจสอบมีการใช้ IP Security Monitor snap-inเป็นการดูสิ่งที่เกิดขึ้นจะแสดงเป็นรายการซึ่งดูค่าที่ GPO กำหนด และค่าในการติดต่อว่าตรงกันหรือไม่ ภายในจะมีรายละเอียดของนโยบายที่กำลังใช้ ซึ่งเราอาจจะพบว่าหมดอายุ เราสามารถรอเวลาตรวจสอบค่าข้อมูลในระบบที่กำหนด Group Policy หรือรีบูตเพื่อบังคับอัพเดตจาก domain controllerการใช้ Resultant Set of Policy snap-inเป็นเครื่องมือที่ใช้เฝ้าดู IP Security เพื่อดูผลที่กำหนดในค่า Group Policy รวมถึง IPSec Policies ซึ่งค่าที่กำหนดจะแสดงเหมือน Group Policy Object Editor consoleค่าที่กำหนดเข้าไปใน Windows Settings > Security Settings ซึ่งมีรายการที่กำหนด ค่าที่แสดงอ่านได้อย่างเดียวการตรวจสอบการจราจร IPScเราสามารถที่ตรวจสอบด้วย Network Monitor ซึ่งดูฟิลด์ IKE, AH, ESP ตรวจสอบค่าโครงสร้าง IPSec packet เมื่อใช้ ESP สามารถที่กำหนด และดูการเข้ารหัสจาก IP Security Policies snap-in ซึ่งเลือก None สำหรับ Encryption algorithm settings กำหนดเป็น Custom ซึ่งเราสามารถที่กำหนด Edit แก้ไขค่าที่ต้องการใน Custom Security Method Settings ได้
4. สรุปแน้วโน้มในอนาคต
ปัจจุบันระบบปฏิบัติการทุกระบบสามารถทำงานกับเทคโนโลยี IPSec ได้ โดยที่ใช้ได้ตั้งแต่วินโดวส์ 2000เป็นต้นไป ซึ่งไมโครซอฟต์ได้ประกาศตั้งแต่เริ่มต้นว่า ต้องการให้วินโดวส์เซิร์ฟเวอร์ เป็นระบบปฏิบัติการที่ "ต่อเชื่อมทุกที่เพื่อเป็นการเสริมพลังในการทำงาน" และ IPSec ก็เป็นกุญแจหลักอันหนึ่งที่ทำให้ไมโครซอฟต์สามารถแสดงให้เห็นได้ว่าระบบ ปฏิบัติการของตัวเองนั้นมีความปลอดภัยในการนำไปใช้เป็นเครื่องมือในการทำ ธุรกรรมบนอินเตอร์เน็ตนอกจากระบบปฏิบัติการของไมโครซอฟต์แล้ว IPSec ยังใช้ได้กับ solaris ,linux ,bsdและ MACos ดังนั้น IPSec จึงเป็นเทคโนโลยีที่น่าจะได้รับความนิยมและได้รับการพัฒนามากขึ้นต่อไป
ที่มา : http://202.28.94.55/web/322461/2550/report/g18/z1.htm
