Πολλοί μας ρωτάνε πως μπορούν να ασφαλίσουν ενσύρματα δίκτυα (με καλώδιο) όπως για παράδειγμα ασφαλίζουμε τα ασύρματα (με WEP,WPA,κτλ) - συγκεκριμένα με μια φράση-λέξη-κλειδί που θα υπάρχει σε κάθε υπολογιστή-συσκευή. Ο μόνος λόγος που θα έπρεπε να γίνει κάτι τέτοιο είναι αν υπάρχουν καλώδια UTP/ethernet σε εξωτερικούς χώρους ή είναι πολλά γραφεία σε κτίριο και υπάρχει κίνδυνος υποκλοπής δικτύου από "περαστικούς". Η πραγματικότητα είναι ότι όλοι οι οργανισμοί και επιχειρήσεις επιλέγουν το καλώδιο για μεγαλύτερη προστασία, εν μέρει έχουν δίκιο - η αλήθεια είναι ότι ειδικότερα οι μεγάλες επιχειρήσεις είναι συνήθως "απροστάτευτες".
Πως μπορούμε να προστατεύτουμε πλήρως;
Πολλοί επιλέγουν Hardware Firewall που συνήθως "ξεχνά" να προστατεύσει την εσωτερική κίνηση του δικτύου LAN και ασχολείται περισσότερο με την Internetική και το Intranet.
Άλλοι πάλι επιλέγουν Software Firewall που συνήθως ρυθμίζεται ακατάλληλα για το εσωτερικό δίκτυο αφήνοντας ολόκληρο το εύρος των IP να περνά ανενόχλητο...
Ο καλύτερος συνδυασμός είναι Hardware με Software Firewall με πιστοποιητικά εγκατεστημένα σε κάθε υπολογιστή. Βέβαια πρόκειται για ακριβή λύση γι' αυτό το λόγο σας προτείνουμε μια χωρίς κόστος λύση αρκεί βέβαια η σωστή ρύθμιση.
Ασφάλεια δικτύου μέσω IPSEC
Χρόνια βρίσκεται μέσα στην εργαλειοθήκη των Windows (από τα Windows 2000, XP) μάλιστα πρόσφατα βρίσκεται στα Windows 7 και ενσωματώθηκε στο Τείχος Προστασίας, στις Ρυθμίσεις για Προχωρημένους - οπότε στα Windows 7 πρέπει να ενεργοποιήσετε το Τείχος Προστασίας ενώ στα υπόλοιπα Windows μπορείτε και χωρίς αυτό.
Ας δούμε την περίπτωση των Windows που δεν έχουν ενσωματωμένη στo Firewall την συγκεκριμένη λειτουργία, τα Windows XP για παράδειγμα. Αν και υπάρχει δυνατότητα να "τρέξετε" το ipsec μέσα απο GUI ο καλύτερος τρόπος είναι μέσω τερματικού DOS (cmd.exe)... Πηγαίνετε στην "Εκτέλεση Προγραμμάτων" με συνδυασμό "Windows Key+R" και πληκτρολογήστε "cmd.exe" και enter...
Για να είμαστε σίγουροι ότι το Service του IPSEC τρέχει στον υπολογιστή μας τρέξτε τις παρακάτω εντολές:
sc config policyagent start= auto
sc start policyagent
η εντολή που πρέπει να δώσετε σε κάθε υπολογιστή στο δίκτυο σας είναι η παρακάτω:
ipseccmd -f 0+192.168.*.* -n ESP[3DES,SHA]300S/20480KPFS -a PRESHARE:"MYPASSWORD" -lan -1s 3DES-SHA-2 -1p -1k 300S
Ας την αναλύσουμε ώστε να αποφύγετε λάθη:
-f
δηλώνει την δημιουργία φίλτρου - μιας και μπορείτε να βάλετε διάφορα φίλτρα
0+192.168.*.*
δηλώνετε το εύρος των IP - εδώ μπορείτε να δώσετε και συγκεκριμένη IP
-n ESP[3DES,SHA]300S/20480KPFS
δηλώνετε το τύπο ασφάλειας που θα χρησιμοποιηθεί
-a PRESHARE:"MYPASSWORD"
εδώ είναι το σημαντικότερο κομμάτι όπου δηλώνετε την φράση-λέξη κλειδί που θα μοιράζετε στους υπολογιστές όπου θα έχουν επικοινωνία μεταξύ τους
-lan -1s 3DES-SHA-2 -1p -1k 300S
οι υπόλοιπες εντολές δηλώνουν τον τύπο του δικτύου και τον τρόπο ανταλλαγής δεδομένων της ασφάλειας
Θα πρέπει να πουμε ότι απαιτείται ιδιαίτερη προσοχή για την ρύθμιση IPSEC και ευτυχώς υπάρχει εντολή επαναφοράς των στάνταρ ρυθμίσεων και είναι η παρακάτω:
ipseccmd -u
Θα πρέπει να ξέρετε ότι δίνοντας τις παραπάνω εντολές δεν παραμένουν μετά απο επανεκκίνηση του συστήματος εκτός και να δημιουργήσετε Πολιτική Registry που δεν το προτείνουμε και δεν το αναφέρουμε... Οπότε καλό είναι να δημιουργήσετε ένα batch το οποίο μπορείτε να τρέχετε από στην Εκκίνηση των Windows !
Αν θέλετε να έχετε πρόσβαση σε μια συσκευή-υπολογιστή που δεν παρέχει ασφάλεια IPSEC π.χ. ένα router πρέπει να πληκτρολογήσετε την παρακάτω εντολη:
ipseccmd -f 0:*:*=192.168.168.1:*:* -n PASS
Όπου 192.168.168.1 η διεύθυνση του router.
Πρέπει να πούμε πως παρόλα αυτά συνήθως κάποιες συσκευές-υπολογιστές είναι δύσκολο να χρησιμοποιηθούν χωρίς να παρέχουν IPSEC - οπότε θα πρέπει να κάνετε κάποιες δοκιμές.
Για περισσότερες πληροφορίες - στα αγγλικά όμως - μπορείτε να διαβάσετε την παρακάτω σελίδα της Microsoft: http://support.microsoft.com/kb/813878 - όπου μπορείτε και να κατεβάσετε το ipsec αν δεν το έχετε εγκατεστημένο ήδη.
Να πούμε ότι μπορείτε να το χρησιμοποιήσετε και σε Windows 98 και να αυξήσετε την ασφάλεια στο maximum.
Το IPSEC μπορείτε να το χρησιμοποιήσετε και σε ασύρματα δίκτυα για ακόμα μεγαλύτερη ασφάλεια.
Περισσότερες πληροφορίες και βίντεο εδώ: http://technet.microsoft.com/en-us/network/bb531150.aspx
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου