IMHO.WS - IPSEC Windows XP/2000/2003 плюсы, минусы, советы по настройкам

IPSec - хорошая альтернатива TCP/IP-фильтрации, и системные администраторы часто используют IPSec в качестве фильтра пакетов на автономных серверах Windows. Протокол IPSec предназначен для защиты IP-соединений и обеспечивает шифрование и туннелирование сетевого трафика. Кроме того, он отличается гибкими методами фильтрации и часто получает предпочтение благодаря одному этому достоинству. IPSec сложно установить, но после настройки нетрудно применять сценарии или групповую политику для распространения проверенного набора правил.

Расширенные возможности правил IPSec обеспечивают фильтрацию по конкретным адресам, протоколам, портам и любой их комбинации. Главное достоинство - возможность фильтровать как входящий, так и исходящий трафик. Разрешив только определенный исходящий трафик, можно значительно сократить вред, наносимый "червями" и "троянскими конями". Например, если запретить исходящий трафик, направленный в TCP-порт 25, никто не сможет послать электронную почту с данного сервера, и несанкционированный пользователь не сможет распространять спам с этого сервера с помощью "троянского коня" или "червя".

У IPSec есть и свои недостатки. Так, уже отмечалась сложность процедуры настройки. Кроме того, из-за путаницы в терминологии многие не понимают разницы между правилами, наборами правил, фильтрами и наборами фильтров. Даже специалисты по брандмауэрам ошибаются, так как, в отличие от большинства других фильтров пакетов, которые применяют правила последовательно, правила IPSec применяются в порядке от самых специализированных до самых широких.

Еще одна проблема IPSec - низкая производительность. Мне приходилось видеть сети, производительность которых падала на 10-15% в результате применения фильтров IPSec, даже без шифрования и туннелирования. Снижение производительности не всегда представляет серьезную проблему, но если ресурсы сервера на пределе или необходимо высокое быстродействие, то IPSec вряд ли будет лучшим решением. Каждая среда имеет свои особенности, поэтому следует провести тесты, чтобы точно определить влияние IPSec на сервер.

В IPSec не учитывается информация о состоянии, но поскольку с помощью правил можно указать порты источника и назначения, гибкость фильтров IPSec выше, чем TCP/IP. Например, клиентский трафик как правило исходит из разных портов (обычно порта с номером в диапазоне от 1024 до 4999). С помощью IPSec можно составить гибкие правила, которые разрешают только трафик, исходящий из портов в указанном диапазоне, поэтому взломщики не могут изменить порт-источник, чтобы обойти правила фильтрации. Задание порта-источника также снижает чувствительность к некоторым атакам DoS.

С помощью IPSec можно протоколировать фильтруемые соединения (но не содержимое пакетов). Однако журналы IPSec хранятся в журнале событий Windows, поэтому просматривать блокированные пакеты неудобно, так как приходится дважды щелкать на каждом событии, чтобы увидеть детали. Более того, на интенсивно используемом сервере данные IPSec могут быстро заполнить журналы сервера. Для работы с журналами IPSec можно задействовать инструмент Log Parser производства Microsoft, с помощью которого легко извлекать и сохранять события IPSec в любом нужном журнальном формате. Загрузить Log Parser можно из Microsoft Download Center.

Если замедление работы не доставляет неудобств, IPSec будет хорошим решением для автономного сервера - особенно установленного в информационном центре, где нельзя установить отдельный брандмауэр. Наборы правил IPSec достаточно гибки для большинства применений, а функции протоколирования приемлемы.

источник: Издательство "Открытые системы"

Extras:
Win2003 Использование безопасности протокола IP

Инструкции на английском: как блокировать пинг в Windows 2000/XP/2003 c IPSEC