Windows ХР Professional позволяет выбрать для защиты IP-трафика использование протокола Encapsulating Security Protocol (Звкрытый безопасный протокола, ESP) либо Authentication Header (Протокол аутентификации заголовка, АН). В чем разница и какой лучше использовать?
АН вычисляет хэш с ключом для каждого передаваемого IP-пакета и заголовка, затем хэш включается в пакет: таким образом обеспечивается проверка подлинности и целостность данных. Каждый пакет содержит порядковый номер для служб передачи пакетов.
ESP тоже вычисляет хэш с ключом для каждого IP-пакета и включает его в этот пакет. Но для ESP хэш не защищает заголовок IP - вычисление хэша включает определение заголовка ESP, концевика и полезной нагрузки, но не заголовка IP. ESP шифрует полезную нагрузку, используя шифрование DES, или (что лучше) 3DES, и включает в каждый пакет порядковый номер для служб передачи пакетов. АН обеспечивает лучшую производительность, чем ESP, тогда как ESP обеспечивает лучшую защиту. Используйте АН для защиты трафика в локальной сети, a ESP - для уязвимого трафика, передаваемого через Интернет. При наличии сетевых адаптеров, на которые можно возложить задачу шифрования IPSec, для внутреннего трафика можно использовать ESP.
Назначение политик IPSec
После выбора или изменения политики IPSec нужно назначить ее, чтобы она оказывала эффект. Для назначения политики в Windows ХР Professional запустите оснастку Политика безопасности IP (IP Security Policy), щелкните правой кнопкой по политике и выберите Назначить (Assign) из контекстного меню.
Одновременно может быть назначена только одна политика, поэтому ее назначение автоматически снимает все назначенные ранее политики. Вы можете снять текущую назначенную политику без назначения другой, щелкнув по ней правой кнопкой и выбрав Снять (Un-assign).
Борис Карлов - тексты и аудиокниги. Полезные советы для молодоженов.
sbride.ru