Ipsec final

Ù¢Ù Ù Ù£ ‫ Ùˆ Ùˆز‬IPSec ‫ Ø­

ع إدارة ا ـ‬ Arabhardware.com

‫ه‬ ‫ذن ا‬#$ % ‫* )( روح ا '& ر‬+,& ‫ اءة ا‬.( ‫ا ا‬/‫ Ø£ ه‬1 23 45 6 ‫ن‬, ;‫ن >Ù„ ﻥ‬,?( @$ ‫ زا‬/ 7 8 ‫ ا‬,9+

Ayman_abdelsalam@yahoo.com UAE – Abu Dhabi

Certificate Microsoft HP Symantec CITRIX Adobe Comptia IT Manager

Description MCP – MCSE – MCSA – MCSA Security APP – ASC – ASP SCTA – SCTS CCA ACE Photoshop Security + ITIL

‫ا س‬ IPSec ‫ آ ا ـ‬: ‫ا رس ا ول‬ ‫ر‬ ‫ا‬ ٤ ٤ ٥ ٥ ٦ ٦ ٧ ٨ ٩ ٩ ٩ ٩ ١٠ ١٠ ١١ ١١ ١٢ ١٢ ١٢ ١٣ ١٣

‫ا ع‬ IPSec ‫ "!ت ا ـ‬#‫ ﻡ‬: ً ‫أو‬ • Authentication Header • Encapsulation Security Payload • Internet Key Exchange • : IPSec ‫ أ&!& !ت ا ـ‬: !ً "!% IPSec ‫• ق ا ـ‬ ‫ ا ت ا ت‬IPSec ‫• آ ا ـ‬

$ % ٢٠٠٣ ‫ & و وز‬IPSec • IPSec ‫ﻥ ت ا ـ‬+ ‫• أﺝ'اء و‬ IPSec ‫ ت ا ـ‬, • Security Filter • Security Methods • Security Filter Action • IPSec ‫ ام ا ـ‬./%‫ ا‬0 ‫• آ‬ Security Policy • ‫ ت‬% 1 ‫اع ا‬+‫• أﻥ‬ ‫ ت‬3‫ﺡ‬5 • ‫ ى‬3‫ ل ﻥ‬8 • IPSec Authentication : !ً' !% Kerberos • Certificate • Pre-Shared •

Installing IPSec : ("!' ‫ا رس ا‬ ‫ر‬ ‫ا‬ ١٤ ١٤ ١٤

‫ا ع‬ • IPSec ‫ ت ا ـ‬% % ‫• إدارة‬ Local Computer ‫ ا ـ‬IPSec ‫ ا ـ‬D E ‫ ﺕ‬0 ‫• آ‬

Configuring IPSec : ) !' ‫ا رس ا‬ ‫ر‬ ‫ا‬ ١٥ ١٥ ١٥ ١٦ ١٦ ١٦ ١٦

‫ا ع‬ IPSec ‫ ا ـ‬- ./, * +, ‫ ا‬: ً ‫أو‬ Custom IPSec MMC Snap-In ‫• إﻥ ء‬ ‫ ا ز‬G‫ ا ا‬D E ‫• ﺕ‬ IPSec ‫ ا ـ‬G‫• ﺕ ' ﺵ ﺵ ا ا‬ & ٢٠٠٣ ‫ وز‬1‫!ﺹ ﺏ ی‬5 1‫ & !& أﻡ‬67‫ ﺕ‬: !ً "!%

$ 1 ‫ ا‬I‫ ا‬% 1 ‫ ا‬D E ‫• ﺕ‬ Client ‫ ا ـ‬I‫ ا‬% 1 ‫ ا‬D E ‫• ﺕ‬ ‫ ت‬3‫ﺡ‬5 • I‫ ا‬J‫ ا اﺏ‬D ‫ ر‬/‫• اﺥ‬

١٧ ١٧ ١٨ ١٨ ١٨ ١٨ ١٩ ٢٠ ٢١

1‫ ﻡ@ﺡ>!ت =( ا '!ل و =( ا < !&!ت ا ﻡ‬: !ً' !% ‫ﺝ 'ة‬I‫ ا‬$ 1 ‫ ا‬% % ‫ﺙ‬N‫• ﺕ‬

$ 1 ‫ ا ـ ا‬P Q / ‫ ﺏ‬IPSec ‫ء ا ـ‬5 E ‫ ح‬1 ‫• ا‬ : ‫ ﺝ ی ة‬1‫!ء & !& أﻡ‬7"‫ إ‬: !ًA‫راﺏ‬ • IPSec ‫ ت ا ـ‬% % ‫• إ اد‬ Filter List ‫• ﺕ ا ـ‬

‫ﺕ‬50 ‫ ل ا‬,$‫• ﺕ أ‬

‫ﺕ‬50 ‫ ا‬R G ‫ ت إ اد‬3‫ﺡ‬5 • Active Directory ‫ ا ة إ ا ـ‬% 1 ‫ ا‬$ S‫ إ‬0 ‫• آ‬

Configuring IPSec In Tunnel Mode : F‫ا رس ا اﺏ‬ ‫ر‬ ‫ا‬ ٢٢ ٢٢

‫ا ع‬ • Tunnel Mode ‫ ا ـ‬$ Configuration ‫ ا ـ‬D ‫ات‬+J‫• ﺥ‬

Managing & Monitoring IPSec : G‫!ﻡ‬H ‫ا رس ا‬ ‫ر‬ ‫ا‬ ٢٣ ٢٣ ٢٣

‫ا ع‬ • IPSec Monitor ‫ ام‬./%‫• ا‬ Event Logging ‫ ام‬./%‫• ا‬

Troubleshooting IPSec : ‫ا رس ا <!دس‬ ‫ر‬ ‫ا‬ ٢٤ ٢٤ ٢٤ ٢٤

‫ا ع‬ : Identifying Common IPSec Issues Verifying That the right policy is assigned Checking for Policy Mismatches

• • • •

Managing IP Security : ‫ ﻡ‬1‫ﻡ‬ % ‫ و أ ' ﺕ‬.IPSec ‫ ه!ا ا ا ف ذن ا د ا ا ا ف‬# ( 7‫ ر‬2 6‫ ا‬, ‫ ا آ‬6‫ – وأ‬, 23‫ و ا‬,‫ – إدارﺕ‬, -1‫ – ﺕ‬, /‫ – آ ﺕ‬, - # ) ‫ا ت‬

‫ول‬C‫ا رس ا‬ Understanding How IPSec Work : ‫ ﻡ‬1‫ﻡ‬ ‫ ﺕ‬:# 3 B ‫ ا‬A ‫ و ﺕ= ر أ‬، Security ‫ ا ـ‬:# ‫• ا ? م وا = ر ا !ي ﺡ‬ ‫ رة‬E ‫ آ‬K/ ‫ ر ا‬I‫ ا‬:# ‫ ﺹ‬6‫ ر و‬I‫ ا‬7!‫ ه‬:=B ,C H ?‫ ی‬G ‫ د‬E‫ إی‬D ‫ آ ن‬. C‫وﺕ‬ % ‫ ذ‬,?‫ ی‬G D ‫ ن‬-# ، ‫ ه‬Q‫ و‬N‫ﻥ ﻥ‬D‫ ا‬O‫ ی‬G ‫ ت‬K/ ‫ ا‬P1‫ وﻥ و ت آ‬- D‫ا‬ ‫ م اﺕ ل ا‬3 ?‫ ا = ی‬7!‫ ه‬NC ‫ وأ‬. SSL (Secure Socket Layer ) ‫ ا ـ‬, C?‫ ﺕ= ی ﺕ‬# • SSL ‫ ام ا ـ‬B ‫ ا‬# .. (40 Bit – 128 Bit) C # ‫

ﺕ ? ات وﺕ‬Encrypted 1 Database - SMTP) ' ‫ ﻥ ت‬2 ‫ ه ا‬2 ? C‫ ﺕ‬: ‫ﺕ ل ا‬D‫ ات ا‬C3 ‫ وﺡ ی‬1 ( communications . E-Mail ‫ ا ـ‬3‫ ری و ا‬E ‫ ا‬3‫ ا ا‬:# ( SSL over HTTP )‫ ام ی ف ـ‬B ‫• وﺕ ا‬ Port ‫ م‬B ‫ وا‬.. HTTPS ( Secure Hyper Text Transfer Protocol) K‫ ﺕ‬N/2‫ﺹ‬T# 2‫ آ‬-1 ‫ واﺵ‬1 ‫ واﻥ‬.. HTTP ‫ ص ـ‬B ‫ ا‬80 D 443 :‫ وه‬.. TLS ( Transport Layer Security ) ‫ ا ـ‬:‫ وه‬, ‫ ا‬B D‫ و‬, , 1 , C?‫ ت ﺕ‬W ‫• ﺙ‬ ‫ دات‬1 ‫ ﺝ ن‬/‫ وا = ی? ن ﺕ‬.. ‫ ی? أداء ا‬G :# ‫ ن‬B‫ ی‬C- ‫ و‬.. SSL ‫ ا ـ‬,CK/ , C?‫ﺕ‬ . Web-based Certificates . ‫ﺡ ى‬I ‫ أو‬.. Certificates ‫ وﻥ‬- D‫ا‬ ‫ وه‬SMB :‫ وه‬. N‫ﻥ ﻥ‬D ‫ آ‬, ,-2‫ و \ ﺵ‬K ‫ ﻥ‬-21 ‫ ا‬6‫ ى دا‬6‫ أ‬, C?‫ ت ﺕ‬W‫• و‬ :‫ وه‬.. Hash ‫ ا ـ‬# ‫و ی ا = إ‬.. SMB ( Server Message Block ) ‫ ر ـ‬6‫ا‬ ( , ' I‫ و ا‬. ‫ ا‬, ‫ ت ری‬K‫ ﺡ‬AK‫^ص ر ] ﺡ‬B ‫^ ا‬6 ‫ ی? ی‬G /‫_ ﺹ‬# /‫ ﻥ‬% ! ‫ و‬, # ‫ وإ‬Hash ‫ ه!ا ا ـ‬1‫ وی ﺕ‬.MD4 , MD5 , SHA-1 ) :# ‫ﺝ ]ة‬I‫ وا‬# K ‫ ی إر ا‬: ‫ إ‬packets ‫ ا ـ‬:‫ ه‬SMB ‫ﺡ_ أن ا ـ‬D‫ و‬.. ... ‫ا‬ :# ‫ ء وره‬C‫ ا ت أﺙ‬3 ?‫ ی‬G ‫ ی‬/ ‫ و‬..7 Q‫( و‬Sharing) ‫ ا ت‬:# ‫ رآ‬1 ‫ا‬ . ( Man In The Middle MITM) ‫ ^ك‬I‫ا‬ :# Application Layer ‫ ﺕ ا ـ‬a ‫ ا‬7!‫ ن ﺝ ه‬- ‫ ى‬2- ‫ ا‬-1 ‫ ت ا‬W - • D ‫ آ ن‬% ! . , ‫ﺝ‬I N C D‫ إ‬1‫ = ﺕ‬K‫ ﺕ‬D ‫ ﺝ ا و‬7‫ د‬/ a W‫ أي أن و‬.. OSI Model ‫ا ـ‬ . IP Security ‫ ا ـ‬, C?‫ ر ﺕ‬- ‫ ا‬# . ‫ ﺕ ر أي ﺝ ز‬Packet ‫ آ‬1‫ ﺕ‬CC- ‫ ی? ﺕ‬G ‫ ر‬- ‫ا‬ Network ‫ أو ا ـ‬.. DOD Model ‫ ا ـ‬:# IP Layer ‫ ﺕ ا ـ‬, C?‫ ﺕ‬... ‫ ه‬IPSec ‫• ا ـ‬ -21 ‫ ا‬, ‫ ز وی‬E ‫ء ی ر ا‬:‫ آ ﺵ‬1 ‫ ی? م‬,‫ اﻥ‬C .. OSI Model ‫ ا ـ‬:# Layer ‫ ه‬IPSec ‫ ـ‬# ... -21 ‫ء‬:‫^ ی ر آ ﺵ‬6 : ‫ ا‬E ‫ ا‬:‫ ه‬Network Layer ‫ و أن ا ـ‬.. IP Packet ‫ ى ا ـ‬K ^6 ‫ء ی‬:‫ ﺵ‬- 1 ‫ وا‬/ ‫ وا‬, 3 ‫ ا ﺙ‬# ‫ ﺕ‬, C?‫ﺕ‬

IP Sec ‫ت ا ـ‬,‫ ﻥ‬5‫ ﻡ‬: ً F‫أو‬ : ‫ ﻡ‬1‫ﻡ‬ . ]0 ‫ً أو‬, ‫ ا‬./%‫و ا‬. ( 0 / ‫ – ا‬Y ‫ﺙ‬+/ ‫ ه ا ـ ) ا‬/ % %‫ أ‬/0 V‫ و‬W IPSec ‫ا ـ‬ – a S ) ‫م ﺏـ‬+ ‫ أن ﺕ‬P J/1‫ ﺕ‬/ ‫ رات ( ا‬. ‫ ﺹ – ا‬, ‫ى د ا ـ ) ا‬+/ ‫ ﺕ‬0 V‫ و‬D‫وآ‬ . ‫ ا‬Security ‫ ( ا ـ‬Q 3 ‫ﺕ‬ ‫ ن ه‬K a‫ن ر‬D ‫ وﺕ آ‬IPSec ‫ ـ‬- . c 2 ‫ ا‬T=B‫ و \ وﺕ آ ل آ ی‬,?‫ ی‬G ‫ه‬IPsec ‫ال‬ . (AH – ESP) ‫ا ـ‬

•

•

: AH : Authentication Header : F‫أو‬ _# /‫ ی‬e ‫ ﺡ‬، Encryption ‫ ه‬1‫ ی ﺕ‬D‫ و‬Sign ‫ ﻥ ت‬2 ‫ وا‬a ‫ ا‬3 ‫ ﺕ‬:# AH ‫ م ا ـ‬B K‫ ی‬.١ : ‫ م‬B K : ‫? ی‬#

NK ‫ و‬,C :‫ م ه‬B K ‫ ه!ا ا‬, ‫ ﻥ ت ا‬2 ‫ اي ان ا‬Data authenticity :‫ ﻥ ت‬2 ‫ ا‬3 ‫ ﺙ‬ .,-21 ‫ ا‬, ‫ او‬7‫ ]ور‬ ‫ ء‬C‫ )اﺙ‬O‫ ی ﺕ ی ا = ی‬, ‫ ﻥ ت ا‬2 ‫ اي ان ا‬Data Integrity : ‫ ﻥ ت‬2 ‫ ا‬/‫ﺹ‬ ) .‫ ^ك‬D‫ وره ا‬ 3 K ‫ ی? ن‬e ‫ ن ﺡ‬3 B ‫ ا‬B : ‫ ا‬,?‫ ا = ی‬7!‫ وه‬Anti-Replay : ‫ر ل‬D‫ م ا دة ا‬ % ‫ ی‬2G‫ و‬7 1 :‫ وه‬# K 6‫ ا‬N3‫ و‬:# ‫ وی? ن دة ار‬7 1 :‫ ورد وه‬2 ‫ا‬ 7!‫ ه‬C D ‫ی? م ﺡ‬IPSec ‫ ل‬# ،، 6‫ ا‬fB‫ ﺵ‬,‫ ا زر ا س اﻥ‬6 ‫ وی‬1 ‫ ا‬# K ‫ا‬ .‫ وث‬/ ‫ ا‬, ‫ا‬ ‫ اع‬B ‫ﺡ ی ا‬IPSec ‫ ال‬j‫ ای‬# ‫ وی‬Anti-Spoofing protection : ‫ اع‬B ‫ ا‬,‫ﺡ ی‬ B K ‫ ا‬k l K‫ ی‬D ,‫ اﻥ‬,-21 ‫ د ی ا‬/‫ ان ی‬- ‫ '^ ی‬، B K ‫ ا‬23 ،، # K ‫ ل ا‬6‫ د‬.x ١٩٢o١٦٨o١ ,‫ ا ی‬: / l K‫ ی‬D C subnet 192.168.0.X ‫ال‬ %C- ‫ ی‬j‫)وای‬. % ‫ ذ‬C ‫ی‬IPSec ‫ ال‬- ، , ‫ ﺹ‬6IP Address ‫ ال‬k‫ م ان ی‬B K = # . 6‫ ا دا‬,-21 ‫ رج ا‬6 % ‫ا ? س ذ‬

• • •

•

Packet ‫ ﻥ ت‬2 ‫] ا‬/ ‫ ا م‬-1 ‫ ه!ا ه ا‬.. Digitally signed, 3 Packet , ]/ ‫ ن آ ا‬-‫ ی‬.٢ AH .‫ وﺕ آ ل‬:# ‫ ﺕ‬: ‫ا‬

: ESP : Encapsulating Security Payload , ‫ﻥ‬,H ‫ اذا ان‬: ‫ ی‬2 ‫ و ا‬، Encryption and Signing ‫ ﻥ ت‬2 3 ‫ وا‬1 ‫ وﺕ آ ل ا‬2 ‫ ه!ا ا‬# ‫ ی‬.١ ‫ ار ل‬C ‫ او‬،، Secret ‫ او‬Confidential ,‫ آ ن ا ت ی‬:# ‫ وﺕ آ ل‬2 ‫ م ه!ا ا‬B K‫ی‬ ، N‫ﻥ ﻥ‬D‫ ' ا‬Public Network O‫ ی‬G ‫ا ت‬ :, ‫ا ]ای ا‬ESP ‫ ال‬# ‫ ی‬.٢ Spoofing ‫ ' ل ال‬:# C/ ‫ آ و‬e ‫ ﺡ‬، ‫ ا‬3‫ ا‬:‫ وه‬.. Source authentication • ) . ‫ )ه ی ا‬، , ‫ ﺕ]وی ه ی‬IPSec ‫ م ال‬B K‫ ی‬fB‫ي ﺵ‬D - ‫ ی‬D ,‫اﻥ‬ ‫ او‬k ‫ ی ا ی او ا‬/ ‫ ﻥ ت‬2 1 ‫ ا‬# ‫ ی‬e2‫ ﺡ‬.. Data Encryption : ‫ ﻥ ت‬2 1 ‫• ا‬ .7‫ا ? اء‬ AH .‫ ال‬:# ,/ .. Anti-Replay • AH.‫ ال‬:# ,/ .. Anti-Spoofing Protection • ESP .‫ وﺕ آ ل‬:# ‫ ﺕ‬: ‫ ا‬Packet ‫ ﻥ ت‬2 ‫] ا‬/ ‫ ا م‬-1 ‫ ه!ا ه ا‬.٣

IP

ESP Header

Signature Application ESP Data Trailer Encryption

ESP Auth

‫‪: IKE : Internet Key Exchange ,I ,H‬‬ ‫‪ .١‬ا ‪ W‬ا‪! , D‬ا ا ‪ 2‬وﺕ آ ل ه‪

:‬ن ا ‪ -‬و ‪ ,‬ﺕ زی و ‪ 1‬رآ ا ﺕ ‪ Keys l‬‬ ‫ ‪ : B K‬ال ‪. IPSec‬‬ ‫‪ # .٢‬وﺕ آ ل ا ـ ‪ negotiation‬اي ا ‪ ?C‬ش ‪ :#‬ﻥ‪ t‬م ال ‪IPSec‬آ اﻥ‪ ,‬ی ﺕ‪T‬آ ‪ G‬ی? ‬ ‫ا ﺙ ‪ Authentication , 3‬وا ﺕ ‪ l‬ا اﺝ‪ A‬ا ‪ B‬ا وﻥ ‬ ‫‪ .٣‬ا ـ ‪IPSec‬ی‪ B K‬م ا ‪ DES ٣ 1‬وه ‪ 2‬ر‪ 7‬زوج ا ﺕ ‪ l‬ذاﺕ ی ‪ 1‬ا‪ = a‬ق ﺡ‪, K‬‬ ‫ ? ‪ 7‬وی ا = ء‪ E w?# 7‬ا ' ﻥ ‪ ,‬وی ‪ C‬ﺕ زی ‪ ,‬وه ﻥ ع ‪ Symmetric Encryption‬اي‬ ‫ا ‪ 1‬ا ازي وی‪ B K‬م ﺕ?‪ C‬ال‪Private Key .‬‬

‫‪,H‬ﻥ ً‪ : ,‬أ ‪, ,‬ت ا ـ ‪IPSEC‬‬ ‫‪ K‬ق ا ـ ‪: IPSec‬‬ ‫أو ً‪ ...Transport Mode : F‬ی‪ B K‬م ه!ا ا ‪ tC‬م دة دا‪ 6‬ا ‪ -21‬ا ‪ .. LAN /‬ﺡ ‪ e‬ی? م ‪ 6‬ت‬ ‫ا ‪ 2 1‬ﻥ ت ا ‪ :‬ﺕ = ‪ O‬وا ‪ K‬ا ‪ :# 2‬ا ـ ‪ IPSec‬أى ﺝ زی ‪ :#‬ا ‪ -21‬أى‬ ‫ی ‪ ^' # . Endpoint-to-Endpoint Encryption #‬إذا ‪ w2j N 3‬ال ‪ IPSec‬ﺕ‪ 1‬‬ ‫ﺝ ا ‪ /‬آ ا ‪ :‬ﺕ ‪ ٢٣ Port‬وه رت ا ـ ‪ . Telnet‬ﺡ ‪ e‬ان ال ‪Telnet‬ﺕ آ ﺵ‪:‬ء ' ‬ ‫ه دون ﺕ‪ # Plain Text 1‬ذا ﺕ ‪ / N‬دﺙ‪ ,‬ا ‪ # K‬وا ‪ B K‬م ه!ا ا ـ ‪ # . Port‬ن ا ـ ‪IPSec‬‬ ‫ی? م ‪ 1‬آ ا ‪ 2‬ﻥ ت ا ‪ 6 Nt/ ,‬وﺝ ﺝ ز ا ‪ B K‬م ا ‪ ,t/‬وﺹ ا ا ‪... # K‬‬ ‫وی ﺕ=‪ O 2‬ه!ا ا ‪ tC‬م ‪ :# Transport Mode‬ا ‪D /‬ت ا ‪: ,‬‬ ‫• ا ‪ /‬دﺙ‪ ,‬ﺕ ا‪D‬ﺝ ]‪ :# 7‬دا‪ 6‬او ﻥ \ ا ‪ ,-21‬ا ا‪ , 6‬ا ‪ B‬ﺹ‪Private LAN ,‬‬ ‫• ا ‪ /‬دﺙ‪ ,‬ﺕ ﺝ زی و‪ D‬ی?= ‪ Firewall C‬ﺡ ‪ wa‬ﻥ ري ی ‪NAT : Network‬‬ ‫( ‪Address Translation‬ﻥ‪ t‬م ی ‪ -‬ال ‪ Firewall‬ا ‪ 2‬ال ﺝ ‪ C‬وی ال ‪ :#IPs‬ا ‪,-21‬‬ ‫ا ا‪ , 6‬ﺡ] ا ‪ 2‬ﻥ ت ‪ Packet‬وا ‪ 2‬ا ‪ C :#‬ان ‪ Public IP‬ا‪ ،، 6‬وﻥ‪ K‬ذ ‪ %‬ه اﻥ‪ C‬‬ ‫ ﻥ‪ /‬ج ى ا ‪ C‬ان ‪ IP‬واﺡ ‪ ، One Public IP‬وای‪ j‬اﻥ‪ ,‬ی? م ‪ 6‬ء ‪ C‬وی ا‪D‬ﺝ ]‪ 7‬‬ ‫ﺵ‪ -2‬ا‪D‬ﻥ ﻥ‪ / N‬ی‪ ,‬ا‪ 6D‬اق ا ‪ B‬رﺝ‪) .:‬‬ ‫‪,H‬ﻥ ‪ … Tunnel Mode ,‬ی ا ‪ B‬ام ه!ا ا ‪ tC‬م =‪ O 2‬ال ‪ IPSec‬ﻥ?= ﺕ‪ -‬ن د‪ 7‬راوﺕ ی ‬ ‫اذا ی ا ‪ B‬ام ه!ا ا ‪ tC‬م ﻥ?= ﺕ ﺝ‪ k‬ا‪ #‬اي ‪ =3‬ا‪D‬ﻥ ﻥ‪ G :# N‬ی? ا ا = ف ا ' ﻥ‪، :‬‬ ‫ ' ا‪D‬ﺕ ‪D‬ت ا ‪ :‬ﺕ‪ /‬ث ا ‪ -21‬ت ا ‪ 7 2‬ﺝ‪ k‬ا‪WAN : Wide Area Network #‬‬ ‫ی‪ B K‬م ه!ا ا ‪ tC‬م ‪ C w?#‬ا ‪ /‬ﺝ‪ T ,‬ا ‪ 2‬ﻥ ت ‪ w?#‬اﺙ‪ C‬ء وره ‪ Q OG C‬ا ‪ ,C‬آ ‪D‬ﻥ ﻥ‪ ^' # ، N‬اذا‬ ‫اراد ‪ 1 #‬آ‪ ,‬ان ی? م ‪ 1‬ﺝ ا ‪ 2‬ﻥ ت ا ‪ :‬ی ار ‪ C #‬وﺕ آ ل ‪FTP : File‬‬ ‫‪ #Transfere Protocol‬ا اد ال ‪ IPSec‬ا س ال‪Tunneling Mode .‬‬

‫آ ‪ IPSec M * .‬ﻡ@ ا ;‪, O‬ت )( ا ‪,5P8‬ت ‪:‬‬ ‫‪ .١‬آ ﻥ ف اﻥ‪ ^ ,‬ا‪ !6‬ا‪ I‬ا‪ 2 D‬ر ‪ # ،‬ن ا ‪ -21‬وا ‪ 2‬ﻥ ت ا ‪ :‬ﺕ ‪ #‬ی ‪ -‬أن ﺕ ف‬ ‫ ی أﻥ اع ا ‪ E‬ت ا ‪ c ، B‬ا ‪ E‬ت ﺕ‪ -‬ن ‪ ' Passive , # Q‬ا‪ 23‬ا ‪ -21‬‬ ‫‪ ،Network Monitoring‬و ‪ C‬ه ا ل ‪ Active‬ی ‪ :C‬إﻥ ی ‪ -‬أن ﺕ ‪ k‬ا ‪ 2‬ﻥ ت أو‬ ‫ﺕ‪ K‬ق ‪ G :#‬ی? ‪ 2‬آ ا ا ‪ . -21‬و‪ :#‬ه!ا ا رس ف ﻥ‪ K‬ض ‪ c‬أﻥ اع ا ‪ E‬ت ‬ ‫ا ‪ -21‬ت‪ ،‬وآ ‪ IPSec C‬ﺡ وﺙ أو آ ا ‪ 3‬ی ‪ G C‬ی‪ O‬ال‪IPSec .‬‬ ‫• أو‪ :F‬ا ‪,1U‬ط ﺡ‪R‬م ا ‪, P‬ﻥ‪,‬ت‪ ... Eavesdropping orsniffing or snooping‬ﺡ ‪ e‬ی ‬ ‫ ! ‪ %‬ا‪ 23‬ﺡ]م ا ‪ 2‬ﻥ ت ا ‪ :‬ﺕ ا ‪ C -21‬ا ا ‪ l‬دون ﺕ‪ Plain text 1‬وا ? ط ‬ ‫ﻥ ی ‪ ، C‬وی ‪ E‬ال ‪ G IPSec‬ی‪ O‬ﺕ‪ 1‬ﺡ] ا ‪ 2‬ﻥ ت‪ C ،‬ه ﺡ ا ?=‪ N‬ا ‪ # ]/‬ﻥ‪,‬‬ ‫ا ی‪ 3 = K‬اءﺕ أو ا ‪D ، e2‬ن ا = ف ا ﺡ ا !ي ی ‪ %‬ح ‪ %#‬ا ‪ 1‬ه ا = ف‬ ‫ا ‪ # { . 2? K‬إ ا = ف ا ‪.‬‬ ‫• ‪,H‬ﻥ ‪ 4 9+ :,‬ا ‪, P‬ﻥ‪,‬ت‪ ... Data modification‬ﺡ ‪ e‬ی ! ‪ 3 %‬ﺡ]م ا ‪ 2‬ﻥ ت ا ‪ -21‬ﺙ ‬ ‫ﺕ ی وإ دة إر إ ا ‪ ، 2? K‬وی? م ال ‪ C IPSec‬ذ ‪ G %‬ی‪ O‬ا ‪ B‬ام ا ش ‪Hash‬‬ ‫(‪ .‬وو ‪ ,‬ا ‪ 2‬ﻥ ت ﺙ ﺕ‪ 1‬ه ‪ ،‬و ‪ C‬ﺕ ا ‪ ]/‬إ ا = ف ا ‪ # 2? K‬ن ا ‪ E‬ز‬ ‫ی ‪ Checksum f/‬ﺕ‪ 2‬ا ‪ ]/‬إذا ﺕ ‪ , ? = N‬أم ‪ # ،D‬ذا ﺕ ‪ N‬ا = ? ا ش ا‪I‬ﺹ ‪:‬‬ ‫ا ‪ 1‬ﺕ‪ 2‬أن ا ‪ ]/‬ﺕ ل‪ - ،‬إذا ﺕ‪ k‬ا ش ﻥ ف ‪ C‬ه أن ﺡ] ا ‪ 2‬ﻥ ت ‪ 3‬ﺕ ﺕ‪ k‬ه ‬ ‫ ا = ی‪.O‬‬

-21 ‫ ﻥ ت ا‬2 ‫ ام ﺡ]م ا‬B ‫ ی ا‬e / ... Identity spoofing V38 ‫ل ا‬,*U‫ اﻥ‬:,I ,H • % ‫ ذ‬C ‫ وی‬، ‫ ی ا‬2? K ‫ اع ا‬6 ‫ أى‬، 7‫ ه ی ]ور‬2 ‫ وﺕ ی‬G ? ‫وا‬ Kerberos ‫ س‬- ‫ ) وﺕ آ ل ا‬::‫وه‬IPSec ‫ ال‬B K‫ ی‬: ‫ ا = ق ا '^ﺙ ا‬O‫ ی‬G ‫ رآ ح‬1 - Digital Certificates ‫ وﻥ‬- D‫ دات ا‬1 ‫ ا‬- Protocol ‫ ا = ف‬/‫آ ﺹ‬T ‫ ا‬23 ‫ ﻥ ت‬2 ‫ دﺙ وإر ل ا‬/ ‫ ﺕ أ ا‬D e ‫ ﺡ‬. (Preshared key . ? ‫ اﺡ ى ا = ق ا !آ رة‬O‫ ی‬G :‫ا ' ﻥ‬ , E ‫ ا‬7!‫ ﺕ ه‬e ‫ ﺡ‬...,‫ره‬,5‫ أو اﻥ‬%‫ ﻡ‬3 ‫ ا‬W ‫ ر‬: DoS -Denial of Service ,9$‫• را‬ -21 ‫ ا‬:# # K ‫ ل ا‬k‫ '^ آ ﺵ‬، C ‫ ی‬K ‫ وا‬B K -21 ‫ ت ا‬6 , 6 = ‫ﺕ‬ ‫ وی‬. B K , E D‫ ر و م ا‬D‫ ا‬7!‫ د ه‬, k1‫ ی‬Flood , ‫ د‬# Ports .,‫! ا ﺡ‬# C ‫ ا‬3 ‫ أو و‬O Q , ‫ ﻥ‬- ‫ ا‬O‫ ی‬G % ‫ ذ‬C IPSec ‫ال‬ ‫ ن‬-‫ أن ی‬:‫ وه‬،‫ ت‬-21 ‫ ا‬:# ‫ ت‬E ‫ اﺵ ا‬... MITM -Man In The Middle,X‫ﻡ‬,‫• ﺥ‬ ‫ ﻥ ا ﺕ ی أو‬- ‫ وا‬6D ‫ ف‬G , ‫ ﻥ ت ا‬2 ‫ ا‬3 ‫ ی‬e ‫ ف ﺙ‬G % C‫ه‬ O?/ ‫ ق ا‬G O‫ ی‬G C IPSec ‫ وی ال‬، 6D‫ ا‬A‫ ﻥ‬E ‫ا م ای‬ Authentication methods ? ‫ ذآ ﻥ ه‬: ‫ وا‬, 3 ‫ا ﺙ‬ 1 ‫ م‬B K ‫ ا ح ا‬3 ‫ ی‬e ‫ ﺡ‬... Key interception &8U ‫ح ا‬,U&‫ ﻡ‬:, ‫د‬, • IPSec ‫ دور‬D C‫ ه‬،, = ‫ ا‬7 ? -‫ اذا ی‬1 ‫ ا‬K‫ ا | آ‬O‫ ی‬G , ‫أو ا ف‬ ?‫ ی‬a‫ دوري ودا‬-1 1 , B K ‫ ا‬l ‫ ا ﺕ‬k ‫ ی? م‬,‫ﻥ‬DWinXP ‫ ا ور‬- ‫ و‬، ., 3 ‫ أو‬, 1‫= رة آ‬6 7!‫ ﺕ ه‬e ‫ ﺡ‬... Application Layer Attacks ‫ت‬,1 P?U ‫ ا‬1PK () ‫ت‬, O; ‫ ا‬:,9$, • | ‫ ا‬2 ‫ﺙ ا‬T ‫ ﺕ ا‬j‫ وای‬-21 ‫ اﺝ ]ة ا‬:# ‫ م‬B K ‫ م ا‬tC ‫ ت ا ﺙ ا‬E ‫ا‬ ‫ أو‬, t‫ﻥ‬D‫ ا‬:# ‫ ات‬k‫ ﺙ‬1 C‫ ﺕ‬: ‫ ا و ت وا ی ان ا‬, ' D‫ و ا‬، -21 ‫ ا‬:# , B K ‫ا‬ IP ?2G ‫ ی‬,‫ ﻥ‬- % ‫ ذ‬,‫ ی‬/ ‫ ا‬IPSec ‫ ی ال‬. B K ‫ ء ا‬2Q ‫ ا | أو ﺡ‬2 ‫ا‬ ‫ ا ^ﺕ‬# ‫ !ا‬، % ! , ‫ وط ا‬1 ‫ وا‬O = ‫ ﺕ‬D ‫ ا ? ط اي ﺡ] ﻥ ت‬#Layer .| ‫ ا‬2 ‫ أو ا‬, t‫ و م ای ^ﻥ‬G ? ‫ ا‬ ، 7 ? ‫ ا‬1 ‫ ا‬- ‫ ﻥ‬- , ‫ ا‬B ‫ ا‬O‫ ی‬G ‫ ت‬E ‫ ا‬t : /‫ی‬IPSec ‫ ل‬# ‫ م‬-1 ‫ اذا‬.٢ (‫ )ای آ ن‬w ‫ ء اﻥ ? ا‬C‫ اﺙ‬N‫ ﻥ ت وا ت ای آ ﻥ‬2 ‫ ی‬/ ‫ ا‬1 ‫ ا‬# ‫ ی‬e ‫ﺡ‬ :# , B K ‫ ا‬1 ‫ ی? ا‬G ... Hashing .‫ وا ش‬Encryption 1 ‫ ا‬: O‫ ی‬G ، e ‫ ﺡ‬l ‫ و ﺕ‬Algorithms ‫ د | ة‬7‫ ر‬2 IPSec ‫ال‬ 1‫ ﺕ‬:- ‫ ﻥ ت‬2 ‫ ا‬# ‫ ﺕ‬: ‫ ا‬, K/ ‫ ا ا‬7‫ ر‬2 Algorithm • ‫ ﻥ ت‬2 ‫ ا‬:# -/ ‫ أو ﺕ ی أو ﺡ!ف أو ا‬7‫ اء‬3 , ^6 ‫ )آ د( ي ی‬3‫ ر‬7‫ ر‬2 ‫ وه‬Key • . 1 ‫ م ا‬3 ‫ ا !ي‬:‫ ]وج ا ' ﻥ‬, ? = ‫ ط‬1 7 1 ‫ا‬

: IPSec & Windows 2003 Server Windows 2003 ‫ و‬.. Cisco ‫ آ‬c‫ب و ﺥ‬+/ +‫ ا ه‬$ Microsoft IPSec b 0 ‫ ﺕ‬.١ . (Group Policy) D8 ً,0‫ ﻥ‬8‫ أآ‬IPSec ‫ ا ـ‬D, ‫ ﺕ‬/ ‫دوات ا‬I‫ ا‬, ‫ى ا‬+/ Server : / ‫ آ‬$ Windows 2003 server $ IPSec ‫ ا ـ‬D ‫ أ ﻥ‬.٢ . e/ ‫ ﺵ‬$ ‫ ا‬./%‫ ا اد ا‬IPSec ‫ إ ادات ا ـ‬/‫ ﺏ‬QG • (Windows 2000 – Windows XP – Windows 2003 with 3‫ﻥ‬N‫ ﺏ‬D ,‫ ﺕ‬/ ‫ﺝ 'ة ا‬I‫ ا‬D‫م آ‬+ ‫• ﺕ‬ . (IPSec Policy Agent) f J‫م ﺏ‬+ ‫ ﺕ‬. service) Active ‫ﺕ] ل ﺏ ـ‬g‫( ﺏـ ) ا‬Policy Agent) ‫م ا ـ‬+ . Client ‫ ا ـ‬System ‫ ا ـ‬D , • (IPSec Services ‫ إ ا ـ‬i ‫ ﺕ‬- IPSec Policy ‫ ـ‬Download D - Directory Server ‫دة‬+‫ﺝ‬+ ‫ ﺕ‬Q / ‫ وا‬IPSec ‫ ﺹ ﺏ ـ‬. ‫ ا‬j 5 ‫ ا‬, ‫ ا‬$ Sk‫ ﺏ‬Windows 2003 server ‫ م‬G‫ و‬.٣ (Extra Layer of $ Sk‫م ﺏ‬+ ‫ ﺕ‬1‫ ﺏ‬j 5 ‫ ا‬ib‫ ه‬l,‫ وﺏ‬. Windows 2000 Server $

$ ./1 ‫ ( ا‬G‫ ق ) إدارة – ا‬E ‫ أو‬1 ‫ﺥ‬I‫ ا‬l, ‫ ا‬. ( Security to IPSec : D8 . Workspace ‫ا ـ‬ Q/ ‫داة أن‬I‫ ا‬ib‫ ه‬. Windows 2003 server $ ‫ ه أداة ﺝ ة‬... IP Security Monitor • D8 Local Computer ‫ ا ـ‬IPSec ‫ ـ‬Monitor D ‫ن‬m‫ ا‬P J/1‫ وﺕ‬. MMC ‫ إ ا ـ‬/$ S‫إ‬ (Details of all IPSec ‫ ه ة‬Monitor ‫ا ا ـ‬b‫ ه‬Y ‫ و‬. Remote Computers ‫ا ـ‬

Policies – Generic and Specific Filters – Statistics – Security association – . customize the display – Search the specific filters by IP Address) Q ‫ن د‬m‫ ا‬IPSec ‫ ا ـ‬n/ ... Stronger Cryptographic master Key (Diffie Hellman) '‫ ﺕ‬j ‫ ﺕ‬0 ‫ دل ا‬/ ‫ ة‬, ‫ ا‬, ‫ ا‬ib‫ وه‬.. Stronger group 2048 – Bit Diffie – Hellman ‫ ـ‬ . j ‫ ﺕ‬0 ‫ﺏ أ ن ا‬+,‫ ﺹ‬ IPSec ‫ ـ‬Configure D ‫ن‬m‫ ا‬P J/1‫ ﺕ‬... Command-line management with netsh Windows 2000 $ Ipsecopal.exe ‫ ل ا ـ‬/1 ‫ى‬b ‫ ا‬. Update Netsh Command ‫ ام ا ـ‬./% ‫ﺏ‬ . IPSec ‫ ـ‬R ‫( ﺕ‬Script – Configure) D P J/1‫ ﺕ‬Netsh ‫ ا ـ‬P $ .

‫ﺕ‬+ (Persistent Policies) " R‫ دا‬% % " ‫ن أن ﺕ ء‬m‫ ا‬P J/1‫ ﺕ‬... Persistent Policies ib $ . J‫ ﺕ‬g / ‫ ت ا‬% 1 ‫ ا‬. (Local – Active Directory) ‫اء ا ـ‬+% a $ Y J‫ ت أن ﺕ‬% 1 ‫ ا‬ib‫ وه‬. ( Override D g – ,$ ً R‫ ه ) دا‬R‫ ت ا ا‬% 1 ‫ا‬ . (Netsh Command) ‫ ام ا ـ‬./% ‫ﺏ‬ (Broadcast – ‫ ا ـ‬e $ / ‫ ا‬D‫ آ ن آ‬Y‫ ﺏ‬1 ‫ ا‬$ ... Removal of default traffic exemptions ‫ﺡ‬+ $ ‫ن‬m‫ أ ا‬. ( Default) S‫ ا‬/$‫ ا‬D ‫ ﺏ‬0, ( Multicast – IKE – Kerberos – RSVP . p (IPSec ) ‫ب ء اﺕ] ل‬+ J W‫ﻥ‬I (IKE) +‫ ه‬0, ‫ا‬ .. (NAT) ‫ل‬5‫ن ا ور ﺥ‬m‫ ا‬P J/1‫ ﺕ‬IPSec ESP '‫ ﺡ‬... IPSec functionality over NAT . (UDP-ESP) Encapsulation i 1 ‫ ﺹ ا‬. ‫ ا‬P (UDP Traffic ) ‫د‬+‫ﺝ‬+‫ ﺏ‬j 1 ‫ى‬b ‫ا‬

$ ‫ ه ﺥ ﺹ ﺝ ة‬RSOP ‫ ا ـ‬... IPSec Support for resultant set of policy (RSOP) Y J‫ وآ ﺕ‬. ‫ل ا و‬5‫ ﺏ ﺥ‬1 ‫ ت ا‬% 1 ‫ ا‬D ,‫ ﺕ‬q‫ ﺏ ه ة آ آ ﻥ‬j 1‫وه ﺕ‬. Windows 2003 ‫ى‬b ‫ ا‬. RSOP Console ‫ اد ـ‬/ k‫'و ك ﺏ‬/‫ ﺏ‬IPSec ‫م ا ـ‬+ r ‫ﺡ‬. (User 0 Computer) ‫ ا ـ‬ . J ‫ ا‬IPSec Policy ‫ إ ادات ا ـ‬D ‫ ﺹ‬0‫ ه ة ﺕ‬W ./1‫ﺕ‬

•

•

•

•

• •

: IPSec ‫اء ا ـ‬R6‫أ‬ ‫ﺝ]اء‬I‫ ا‬7!‫ ؟ وه‬c 2 ‫ ا‬j IPSec ‫ إل‬T‫ ﺕ‬W ‫ ﺕ? م‬, K a‫ ﻥ ت ر‬- ٣ IPSec ‫ ن إ ـ‬- ‫ی‬ : ‫ﺝ]اء ا‬I‫ ا‬# ‫ ﺵ ﺡ‬- ‫ا '^ﺙ ی‬ ‫ أن ه!ا‬. " IPSec ‫ م‬t‫ ه " ﻥ‬C ‫ و‬...IPSec policy agent module : F‫ أو‬.١ : ‫ ل ا‬I ‫ ز وﺕ? م‬E ‫ ر أ ا‬# B K ‫ا ی أﺝ ]ة ا‬ ‫ أو‬K ‫ ا‬E‫ وان ﺕ‬Active Directory AD :# ‫ م‬B K ‫ ءا ا ا‬C K ‫ ل ا‬2? ‫• ی? م‬ .‫ ز‬E ‫ ي ا‬KE‫ ا ی‬6‫ دا‬K ‫ ا‬e/2 ‫ ﻥ ﺕ? م‬# AD ‫ ا ـ‬E‫ﺕ‬ 1 ‫ ا ش وا‬: 6 O‫ ی‬G ‫ ا‬-1 ‫ ز‬E ‫ ی ﻥ? ا ا‬,‫ ﻥ‬# AD :# K ‫ د ا‬E‫• اذا ﺕ ای‬ Hash (Integrity) and Encryption . ‫ ي‬KE‫ وا ی‬ISAKMP/Oakley 6‫ و‬IPSec Driver ‫ ك‬/ ‫ ا‬K ‫• ی إر ل ت ا‬ .‫ م‬B K ‫ ا‬C IPSec ‫ ی? ف ا ـ‬3 IPSec ‫ ل‬,3^ ‫ ن‬-‫ ﺕ‬: ‫ ا‬,-21 ‫ ا‬:# ‫ آ‬1 ,‫ ﺕ اﺝ‬C : ,t‫ ^ﺡ‬ .A2K ‫ ف ا‬ ‫ آ‬, B ‫ ا‬7!‫ … ﺕ ه‬ISAKMP/OAKLEY key management service : , ‫ﻥ‬,H .٢ : ‫ ـ‬, B ‫ ا‬7!‫ ﺕ? م ه‬.. IPSec Policy . K ‫ ا‬O‫ ی‬G k1‫ﺝ ز وﺕ‬ j ‫ ﺕ‬. , C ‫ت ا‬D ‫ اﺕ‬2 = ‫ زی ا !ی‬E ‫ ا‬Security Association SA , C ‫ ا‬,= ‫• ﺕ را‬ . D‫ رات ا‬6‫ و‬l ‫ اد اﺕ ل ا ' ا ادات ا ﺕ‬D , ‫ ادات ا ^ز‬D‫ ا‬, C D‫ ا‬w ‫ ا وا‬7!‫ه‬ , 3 ‫ ا ﺙ‬O?/ ‫ ا‬O‫ ی‬G ‫ زی‬E ‫ ا‬,C ‫ ة ا‬C3 O ?/‫ ﺕ‬, B ‫ ﺕ ا‬,‫ ای‬2 ‫ ا‬:# • ‫ﺕ ل‬D‫ دل ت ﺡ ل ا‬2‫وﺕ‬Authentication % ‫ وﺕ‬IPSec Driver . ‫ ك‬/ ‫ ﺕ ر‬: ‫ وا‬SA , C D‫ ا‬,= ‫ ء ا ا‬1‫ ی اﻥ‬% ‫• ذ‬ . a ? ‫ ﺕ‬, B K ‫ ا‬l ‫ ی ا ﺕ‬2‫ ﺕ‬7‫ ا ? ر‬ISAKMP/Oakley ‫ م‬B K‫ وا !ي ی‬، Key determination protocol ‫ ﺕ آ ل ﺕ? ی ا ح‬7‫ ر‬2 Oakley • 1 ‫ ا‬l ‫ دل ﺕ‬2‫ ﺕ ﺕ‬: ‫ وا‬Diffie-Helman Key Exchenge Algorithm , C?‫ﺕ‬ ‫ اذا ﺕ‬,‫ ﺕ آ اﻥ‬: ‫ وا‬، Perfect Forward Secrecy PFS ‫ ی‬. Oakley , ‫ ﺕ‬,‫ ی‬K ‫ ح د‬O‫ ی‬G , / ‫ ﻥ ت ا‬2 ‫ ح ﺹ ل ا ا‬K ‫ ی? م‬، (, 1‫ )اي آ‬1 ‫ ح ا‬# ‫ ی? م ا ا‬D‫ و‬7 ‫ ﺝ ی‬l ‫ ب واﻥ ج ﺕ‬K/ ‫ﺕ ل‬D‫ ا !ي ی ا‬l ‫ ام ا ﺕ‬B ‫ ی ود ا‬D ,‫ اﻥ‬e ‫ ﺡ‬.w?# .7 ‫ ی‬E ‫ ا‬l ‫ ف ا ﺕ‬1- ‫ول ا‬D‫ ی? ﺕ ا ح ا‬G ‫ ام‬B

23‫ ( اﺝ ]ة ا ^ء ا‬ipsec.sys) ‫ ك‬/ ‫ ی ه!ا ا‬... IPSec Driver ‫ا * ك‬: ,I ,H .٣ : ‫ ی? م ـ‬e ‫ ﺡ‬IPSec datagrams . ‫ ﻥ ت‬2 ‫ا‬ N? G ‫ ذا‬# . ‫ آ ه ا اد‬,C ‫ ا‬% #‫ وان ا ا‬,?2= ‫آ ان ا ^ﺕ‬T ‫ ﻥ ت ا ^ﺕ‬2 ‫ ا‬7!‫• ? رﻥ ه‬ SA , C D‫ ا‬,= ‫ ام ا ا‬B ‫ ا‬O‫ ی‬G ‫ وﻥ‬- ‫ ا‬3 ‫ ه او ﺕ‬1‫ ی ﺕ‬,‫ ﻥ‬# ، ‫ ا ^ﺕ‬a 3 ‫ ﻥ ت‬2 ‫ ا‬7!‫ه‬ .,-21 ‫ ﺙ ی ار ا‬،‫ ك‬1 ‫وا ح ا‬ k1‫ وی ﺕ‬،,‫ ﺝ‬/ ‫ ا‬C ‫ ه‬/ ‫ ی' و‬/ ‫ وی? م‬SAs ‫ ﺝ ی‬, C ‫ ا‬w ‫ روا‬A G ‫ ك‬/ ‫ ی ا‬j‫• ای‬ IPSec Policy Agent . K ‫ ا‬O‫ ی‬G ‫ ك‬/ ‫ه!ا ا‬

: The IPSec Negotiation Process ‫ أ‬j ‫ ﺕ‬0 ‫ وﺕ دل‬p ‫ ادات‬k‫ﺕ ﺏ‬+ ‫ ﺏ أﺝ 'ة ا‬Y $+/‫م ﺏ‬+ ‫ل‬+‫آ‬+‫ ﺏ وﺕ‬+‫ ه‬ISAKMP & IKE ‫ وف ﺏـ‬, ‫( وا‬Security Association) ‫ ﺏ أن ا ـ‬IPSec ‫ ا ـ‬$‫ و‬. ‫ﺝ 'ة‬I‫ ﺏ ا‬p g ً ]‫ اﺕ‬$+ % ‫ﺏ‬ (Policy ‫ى‬+/ (SA) ‫ ـ‬$ . ‫ ن‬N‫ ﺏ‬D]// ‫ﺝ 'ة‬I‫ﺏ ﺏ ا‬+ J ‫ ت ا‬+ , ‫ ا‬D‫ آ‬$+ (SA) " ‫ إ ﺕ‬$ Su ‫ا ﺏ‬b‫ ه‬. ‫ م‬./1 % ‫ى‬b ‫( ا‬Algorithm – Key Length) ‫ ﺕ ا ـ‬$ Q /‫ ﺕ‬agreement) : , ‫ ا‬ib‫ ه‬$ ‫ﺕ ن‬+J‫ وه ك ﺥ‬. ‫ ت‬+ , ‫ دل ا‬/ ‫ م‬./1/% / ‫ ن ا ا‬I‫ ا‬j ‫ ﺕ‬0

1‫( إ ﺕ‬Security agreement) v %N/ (ISAKMP) ‫ﺕ ان ا ـ‬+ ‫ م ا‬./1 ... Main Mode .١ ‫ ق ا ط‬0‫ﺕ‬g‫ ا‬Q/ ‫ أن‬f . ‫ﺕ] ل ﺏ ا زان‬g‫ا ا‬b‫ ه‬v %N‫ ﺕ‬P J/1‫ و ﺕ‬. (ISAKMP SA) : / ‫ا‬ (DES – 40 Bit – Triple DES – Non) ‫ ه‬D‫ ه‬. ./1 ‫ن‬+ ‫( ﺕ‬Encryption algorithm) ‫• أى‬ . (MD5 – SHA-1) ‫ ه‬D‫ ه‬. (Message Integrity) ‫آ ا ـ‬N/ ‫ م‬./1 (algorithm) ‫• أى‬ (Kerberos – Public Key – Oakley ‫ ام‬./% ‫ ﺏ‬D‫ ه‬. Connection ‫ ا ـ‬G+‫ﺙ‬+ ‫آ‬N/ ‫ ا‬Q/ % ‫• آ‬ . Protocol – Shared Secret Key ) JE/‫ ت ﺏ‬S‫ و‬0 ‫م ا‬+ ‫ ﺕ‬$‫ و‬.. ‫ﺕ ان‬+ ‫ وض ﺏ ا‬0/ ‫ ﻥ ا‬8 ‫ وه ا ﺡ ا‬... Quick Mode .٢ : / ‫ ا‬f‫اﻥ‬+ ‫ا‬ . ‫ﺕ] ل‬g‫ا ا‬b ‫ م‬./1 % (Authentication Header AH Protocol ) ‫• أى‬ . ‫ﺕ] ل‬g‫ا ا‬b ‫ م‬./1 % (Encapsulating Security Protocol (ESP)) ‫• أى‬ . (ESP Protocol) ‫ م ـ‬./1 % (Encryption algorithm) ‫• أى‬ . (AH Protocol) ‫ م ـ‬./1 % (Authentication Protocol ) ‫• أى‬

: Security Filters ) ‫ى‬+/ / 0 $ . ‫ ﺹ‬. ‫ و ا ت ا‬$ Security Protocol ‫ دل ا ـ‬, Security Filter ‫ا ـ‬ D % ,$. ( D /1 ‫ح ﺏ ] ر وا‬+ 1 ‫رﺕ ت ا‬+ ‫ م – ا‬./1 ‫ل ا‬+‫آ‬+‫ – ا وﺕ‬D /1 ‫ و ا ] ر وا‬ ‫م ﺝ ز ا و‬+ (IPSec Negotiation) ‫ع ا ـ‬+‫ د ﻥ‬/ $ ,/‫م ﺏ‬+ ‫ أن ﺕ‬e ‫ ل‬8 ‫ا‬ : ‫ﺕ‬50 ‫ ا‬+‫وه ك ﻥ‬. Microsoft.com ‫ﺕ] ل ﺏ ز دو‬g ‫ ﺏ‬e‫ ص ﺏ‬. ‫ا‬ . ‫ﺕ] ل‬g‫ ا‬Remote Machine ‫ ا ـ‬f J Y J ... Inbound Filter • . Remote Machine ‫ إ ا ـ‬Traffic ‫ ل ا ـ‬%‫ إر‬D G Y J ... Outbound Filter •

: Security Methods ‫ﺕ] ل‬g‫ ه " ا‬Security Method ‫ ـ‬$ .. Security Method ‫ م‬./1 IPSec Connection D‫آ‬ . (Encryption algorithm – Negotiated Key Length – key lifetime) / ‫ م‬./1 ‫ى‬b ‫ا‬ . (High – Medium) ‫ وه‬. ‫ ا دة‬Security Method ‫ م واﺡ اﺙ ا ـ‬./1‫ أن ﺕ‬e

• •

: Security Filter Action , B K‫ وا !ي ﺕ‬Filter Action K‫ وه ی‬، ‫ ا‬% #‫ ا ا‬O =‫ ی? " ذا ﺕ‬.١ E‫ أن ﺕ‬%C- ‫ '^ ی‬# .. ‫ ا‬AK‫ ﺡ‬% #‫ ذا إذا ﺕ = ? ا ا‬Policy K ‫ ا‬2B ‫ آ‬/ ‫ ا‬1‫ ی ﺕ‬, E‫ ﺕ‬j‫ وأی‬، FTP ‫ آ رت وﺕ آ ل‬/ ‫ ا‬C ‫ی? م‬IPSec ‫ال‬ ‫ وا ش‬1 ‫ ا‬t‫ ی أى أﻥ‬/ Filter Action ‫^ل‬6 = K‫ ﺕ‬j‫ وأی‬HTTP . ‫ رت وﺕ آ ل‬ ‫ م‬B K‫ أن ﺕ‬K ‫ ا‬AE‫ ی‬Encryption and Hashing Algorithms B K‫ ﺕ ی أن ﺕ‬: ‫ا‬ ‫ ق‬G ‫ﺙ^ث‬IPSec ‫ م ال‬B K‫ ی‬e ‫ ﺡ‬Authentication Method : 3 ‫ ا ﺙ‬O?/ ‫ ی? ا‬G . Kerberos – Digital certificates – Preshared Key ‫ وه‬3 ‫ ا ﺙ‬O?/

‫ أﻥ اع‬K 6 ‫ م‬B K‫ = أن ﺕ‬K‫ ﺕ‬. IP Security Policy Management Snap-In ‫ ام ا ـ‬B .٢ : ‫ ه‬K B ‫ ا ^ﺕ ا‬7!‫وه‬. # ‫ آ‬# Security Filter Actions ‫ ا ـ‬B . Action ‫ ذ أى‬B‫ م اﺕ‬IPSec ‫ ا ـ‬2B‫ وه ی‬. ‫ ح‬K ‫ ا‬, ‫ وه ? د‬... Permit action • Remote System ‫ﺕ ل ـ‬D‫ ا‬c#‫ ی ر‬, #‫ و‬... Block action • . Tow action accept unsecured communication • Enable session PFS • - Customer Setting ‫ ی ا ـ‬/ % l K‫ وه ی‬... Security setting action • . C -1 Computer – remote network

: IPSec ‫ ام ا ـ‬3U ‫آ & ا‬ ‫ ان آ‬e ‫ ﺡ‬، ,-21 ‫ ا‬:# O2=‫ ﺕ‬: ‫ وا‬IPSec Policies ‫ ت‬K ‫ ی ف‬O‫ ی‬G IPSec ‫ م ال‬B K‫ی‬ AE‫ ا !ي ی‬D‫ ا‬، ,‫ ی‬tC ‫ ا‬7!‫ م ه‬B K‫ی‬IPSec ‫ وال‬،, C -1‫ ? ﺕ‬2=‫ ﺕ ی ﺕ‬: ‫ ا ? ا ا‬E ‫ آ ا ? ا‬E‫ ﺕ‬% AE‫ ی‬% ! ، ‫ ﺕ‬2 ‫ ﺝ ز آ‬- '‫ = اآ‬K‫ ﻥ‬D C‫ ه اﻥ‬, 7 2 ‫ﻥ‬D‫ا‬ ،،، ‫ اد‬#D‫ ى ا‬K D 7] ‫ﺝ‬D‫ ى ا‬K O2=‫ ﺕ‬7 ‫ واﺡ‬, :# ? 2=‫ ﺕ‬:# AQ ‫ ﺕ‬: ‫ ر ا‬D‫وا‬ :: ‫ ا ة ی‬C AE‫ ی‬، , K ‫ ا‬O 2=‫ ا ? م ا ? ا وﺕ‬23 ‫ ی‬/ (‫ دم‬3 ‫ درس‬:# ‫ و‬C C ) ‫ ام ا ^ﺕ‬B ‫ ﺕ? م‬%‫ اﻥ‬e ‫ﺡ‬... Traffic Type : %‫• ﻥ ع ا * آ‬ 23‫ ی ا‬# O2=‫ = ان ﺕ‬K‫ '^ ﺕ‬3 ، ‫ ا ? ا‬7!‫ ه‬O2=‫ ﺕ ی ﺕ‬: ‫ ا‬% #‫ﻥ ا ا‬ .:3 2 ‫ دون ا‬w?# FTP ‫ و‬HTTP ‫ وﺕ آ ل‬ IPSec ‫ د‬/‫ ان ﻥ‬AE‫ ی‬% ‫ ذ‬... Traffic : %‫[ ﻡ@ ﻥ ع ا * آ‬1*U ‫ ا‬9$IPSec ‫ ال‬49& ‫ذا‬,‫• ﻡ‬ , K ‫ ا‬2B , B K‫ وا !ي ﺕ‬Filter Action K‫ وه ی‬، ‫ ا‬% #‫ ا ا‬O =‫ ذا ﺕ‬ C ‫ی? م‬IPSec ‫ ال‬E‫ ان ﺕ‬%C- ‫ '^ ی‬# ، ‫ ا‬AK‫ ﺡ‬% #‫ ذا اذا ﺕ = ? ا ا‬Policy ‫ رت وﺕ آ ل‬,‫ آ‬/ ‫ ا‬1‫ ی ﺕ‬, E‫ ﺕ‬j‫ وای‬، FTP ‫ رت وﺕ آ ل‬,‫ آ‬/ ‫ا‬ ‫ ﺕ ی ان‬: ‫ وا ش ا‬1 ‫ ا‬t‫ ی اي اﻥ‬/ Filter Action ‫^ل‬6 = K‫ ﺕ‬j‫وای‬HTTP . .‫ م‬B K‫ ان ﺕ‬, K ‫ ا‬AE‫ ی‬Encryption and Hashing Algorithms B K‫ﺕ‬ ‫ﺙ^ث‬IPSec ‫ م ال‬B K‫ ی‬e ‫ﺡ‬... Authentication Method : % H

‫[ ﻡ@ ا‬1*U ‫ ا‬1 K • : ‫ وه‬, 3 ‫ ا ﺙ‬O?/ ‫ ق‬G Kerberos Protocol ‫ س‬- ‫ وﺕ آ ل ا‬Digital Certificates , ‫ وﻥ‬- D‫ دات ا‬1 ‫ا‬Preshared key ‫ رآ ح‬1 ., 3 ‫ ا ﺙ‬O?/ ?‫ ی‬G O 2=‫ = ﺕ‬K‫آ ﺕ‬ # ‫ ه!ا‬C‫ ﺵ ﺡ‬3‫و‬... Tunnel or Transport mode (, ‫وه‬IPSec ‫ ال‬M‫ﻡ‬,\‫ ام اﺡ ى ﻥ‬3U ‫• ا‬ . ‫ ه!ا ا‬P‫ﺝ]ء ی‬ What connection type the rule ,; () , X ‫ [ ا‬P?+ ^U MU ‫ ا‬%5P8 ‫ل او ا‬,V+F‫• ﻥ ع ا‬ ‫ او ان‬، LAN / ‫ ا‬-21 ‫ ﻥ= ق ا‬:# IPSec ‫ د ال‬/‫ أن ﺕ‬- ‫ ی‬K ‫ أن ا‬e ‫ ﺡ‬... applies to: . C‫ﺙ‬D‫ او ا‬،WAN ‫أو ی ف ب‬Remote access ‫ی أ س ا ﺹ ل‬

: Security Policy . ‫ اب‬E ‫؟ ا‬IPSec ‫ ال‬k K‫ م وﻥ‬B K‫ ان ﻥ‬CC- ‫ ی‬P ‫ آ‬، E ‫ی= أ ال ذه ا‬ ‫ ان آ‬e ‫ ﺡ‬، ,-21 ‫ ا‬:# O2=‫ ﺕ‬: ‫ وا‬IPSec Policies ‫ ت‬K ‫ ی ف‬O‫ ی‬G IPSec ‫ م ال‬B K‫ی‬ AE‫ ا !ي ی‬D‫ ا‬، ,‫ ی‬tC ‫ ا‬7!‫ م ه‬B K‫ی‬IPSec ‫ وال‬،, C -1‫ ? ﺕ‬2=‫ ﺕ ی ﺕ‬: ‫ ا ? ا ا‬E ‫ آ ا ? ا‬E‫ ﺕ‬% AE‫ ی‬% ! ، ‫ ﺕ‬2 ‫ ﺝ ز آ‬- '‫ = اآ‬K‫ ﻥ‬D C‫ ه اﻥ‬, 7 2 ‫ﻥ‬D‫ا‬ .‫ اد‬#D‫ ى ا‬K D 7] ‫ﺝ‬D‫ ى ا‬K O2=‫ ﺕ‬7 ‫ واﺡ‬, :# ? 2=‫ ﺕ‬:# AQ ‫ ﺕ‬: ‫ ر ا‬D‫وا‬ :: ‫ ا ة ی‬C AE‫ ی‬، , K ‫ ا‬O 2=‫ ا ? م ا ? ا وﺕ‬23 Traffic Type : ,‫ آ‬/ ‫• ﻥ ع ا‬ 7!‫ ه‬O2=‫ ﺕ ی ﺕ‬: ‫ ا‬% #‫ ی ﻥ ا ا‬/ (‫ دم‬3 ‫ درس‬:# ‫ و‬C C ) ‫ ام ا ^ﺕ‬B ‫ ﺕ? م‬%‫ اﻥ‬e ‫ﺡ‬ .:3 2 ‫ دون ا‬w?# FTP ‫ و‬HTTP ‫ وﺕ آ ل‬23‫ ی ا‬# O2=‫ = ان ﺕ‬K‫ '^ ﺕ‬# ، ‫ا ? ا‬ Traffic :,‫ آ‬/ ‫ ﻥ ع ا‬O?/ ‫ ا‬IPSec ‫• ذا ال‬ Filter Action K‫ وه ی‬، ‫ ا‬% #‫ ا ا‬O =‫ ذا ﺕ‬IPSec ‫ د‬/‫ ان ﻥ‬AE‫ ی‬% ‫ ذ‬ E‫ ان ﺕ‬%C- ‫ '^ ی‬# ، ‫ ا‬AK‫ ﺡ‬% #‫ ذا اذا ﺕ = ? ا ا‬Policy , K ‫ ا‬2B , B K‫وا !ي ﺕ‬

,‫ آ‬/ ‫ ا‬1‫ ی ﺕ‬, E‫ ﺕ‬j‫ وای‬، FTP ‫ رت وﺕ آ ل‬,‫ آ‬/ ‫ ا‬C ‫ی? م‬IPSec ‫ال‬ : ‫ وا ش ا‬1 ‫ ا‬t‫ ی اي اﻥ‬/ Filter Action ‫^ل‬6 = K‫ ﺕ‬j‫ وای‬HTTP . ‫ رت وﺕ آ ل‬ .‫ م‬B K‫ ان ﺕ‬, K ‫ ا‬AE‫ ی‬Encryption and Hashing Algorithms B K‫ﺕ ی ان ﺕ‬ Authentication Method :, 3 ‫ ا ﺙ‬O?/ ‫ ی? ا‬G • Kerberos – Digital certificates – ‫ وه‬, 3 ‫ ا ﺙ‬O?/ ‫ ق‬G ‫ﺙ^ث‬IPSec ‫ م ال‬B K‫ ی‬e ‫ﺡ‬ . Preshared Key Tunnel or Transport mode ‫وه‬IPSec ‫ ال‬: t‫ ام اﺡ ى ﻥ‬B ‫• ا‬ What connection type the rule K ‫ ا‬O 2=‫ ﺕ‬: ‫ ا‬,-21 ‫ﺕ ل او ا‬D‫• ﻥ ع ا‬ applies to

: ‫ت‬, , X ‫أﻥ اع ا‬ ‫ او ان ی ا س ا ﺹ ل‬، LAN , / ‫ ا‬,-21 ‫ ق ا‬t‫ ﻥ‬:#IPSec ‫ د ال‬/‫ ان ﺕ‬- ‫ ی‬, K ‫ ان ا‬e ‫ﺡ‬ . C‫ﺙ‬D‫ او ا‬،WAN ‫او ی ف ب‬Remote access ‫ ف اﻥ اع‬C ، , K ‫ و ا‬O 2=‫ ﺕ‬23 ‫ ر‬2 D‫!ه ا‬6‫ ا‬AE‫ ی‬: ‫ ر ا‬D‫ن ا ف ا‬D‫ا‬ ‫ء‬D ‫ ه‬7 ‫ وآ واﺡ‬. ‫ ت‬K ‫ اﻥ اع ا‬,‫ ك ﺙ^ﺙ‬C‫ ﺕ ﺝ ه‬e ‫ ﺡ‬، Win2000 &2003‫ ال‬:# , K ‫ا‬ ، ,= ‫ او ا‬7 k ‫ آ ت ا‬1 ‫ ا‬:# 2G)., ‫ﺝ‬D O2= : ‫ ض ا‬k ‫ ا‬A C‫ ﺕ‬,‫ ﺹ‬6 ‫ ي ا ادت‬/‫ﺕ‬ 7!‫ وه‬. K ‫ ﻥ‬,‫ آ‬1 ‫ ا‬23 7 - 2 , ‫ ام‬B ‫ ا ا‬,‫ ﺝ‬/ ‫ وزاد ا ? زادت ا‬,‫ آ‬1 ‫ ا‬E‫ ﺡ‬2‫ آ آ‬- : ‫ﻥ اع ا '^ﺙ ه‬I‫ا‬ Domain Group security , K ‫ ا‬7!‫ ه‬O2=‫ ﺕ‬j#‫ا‬... Client (Respond only) • O‫ ی‬G 1‫ ى ﺝ اء ﺕ‬6D‫ ا‬7] ‫ﺡ‬D‫ ت ا‬2 G ‫ م‬B K ‫ ﻥ رد ا‬- ‫ ا‬C j‫ ﺕ‬:- % ‫وذ‬policy ،IPSec ‫ واﺡ ال‬# ‫ و‬# ,-2‫ اي ﺵ‬:# , ‫ ا‬, K ‫ ا‬7!‫ ه‬2 ‫ اذا ﺕ‬،،IPSec ‫واﻥ‬IPSec ‫ ال‬O‫ ی‬G 1 ‫ دﺙ وا‬/ ‫ ا‬A G ‫ م ر ل‬B K ‫ ی? م ا‬, K ‫ ا‬7!‫ ه‬:# e ‫ﺡ‬ NC‫ اذا آ‬IKE . ‫ ل‬E :# ‫ ى‬6D‫ ا‬7] ‫ﺝ‬D‫ ا‬% ! 2?K ‫ ی‬: ‫ ت ا‬2 = ‫ ا‬:# ‫ ل‬6 ‫ وا‬, ‫ﺝ‬D ‫ ? م‬ , K ‫ ا‬7!‫ ه‬O 2=‫ ان ی ﺕ‬% ‫ﺡ ى ذ‬D # ,-21 ‫ اي ﺝ]ء اﺝ]اء ا‬IPSec O 2=‫ ﺕ‬:# - ‫ﺕ‬ Domain.‫ ى‬K ‫ ث‬/ : ‫ ات ا‬# K ‫ ا‬7‫ ا د‬:# , K ‫ ا‬7!‫ ه‬O2=‫ ﺕ‬... Server (Request Security) • ‫ اذا آ ن‬، , / ‫ ا‬7!‫ ه‬:# ، 7 Q‫ و‬Unix ' Non-win2000 ‫ او ﺡ اﺝ ]ة‬Win2000 ‫اﺡ ]ة‬ % ‫ ا اذا ی‬، , # 7 1 ‫ ن‬- C ‫ دﺙ ت‬/ ‫ ن ﺝ ا‬# IPSec ‫ = ا‬K‫ م ی‬B K ‫ا‬ ‫ )اي‬,‫ﺕ ل ا دی‬D‫ وا‬,‫ دﺙ‬/ ‫ = ق ا‬# K ‫ ا‬K‫ ی‬,‫ ﻥ‬#IPSec ‫ ام ال‬B ‫ ا‬7‫ م ا ? ر‬B K ‫ا‬ ‫ ن‬-‫ ی‬e ‫ ﺡ‬,-21 ‫ ا‬:# 7] ‫ﺝ‬D‫ ا‬w 6 ‫ ﺡ وﺝ د‬:# , K ‫ ا‬7!‫ ه‬O2=‫ ﺕ‬.( #IPSec ‫دون اي اﺙ‬ .% ! AK‫ﻥ‬D‫ ا‬:‫ ه‬7!‫ ن ه‬- # ، D 6D‫ ا‬c 2 ‫ وا‬IPSec ‫ م‬B K‫ ی‬j ‫ و ? ط‬- ‫ ات م ا‬# K , K ‫ ا‬7!‫ ه‬j‫ ﺕ‬... Secure Server (Require Security) • 7!‫ ه‬N‫ ﺡ آ ﻥ‬،IPSec ‫ ﺕ ال‬D ‫ م او‬B K‫ ﺕ‬D : ‫ ا‬7] ‫ﺝ‬D‫ﺕ ل ا‬D‫ وا‬,‫ دﺙ‬/ ‫ﺝ اﻥ اع ا‬ 7!‫ م ه‬B K‫ ﺕ‬j#‫ وا‬Trusted Sites and DOmains . :# 7‫ ز ﺝ د‬E ‫ او ه!ا ا‬,-21 ‫ا‬ ،7 Q‫ ك و‬C2 ‫ ا‬:# ‫ ات‬# K ‫ د آ‬/ # ‫ء ی ر‬:‫ آ ﺵ‬1‫ ا ﺕ‬,‫ ﺝ‬/ ‫ ا‬N ‫ اذا د‬, K ‫ا‬ ‫ ام‬B ‫ ءات ا‬C' ‫ﺡ ن و ا ءات وا‬D‫ ا‬c :# C AE‫ ی‬,‫ ﻥ‬# , K ‫ ا‬7!‫ د ه‬1‫ ﺕ‬A2K ‫و‬ SNMP - Simple Network Management Protocol ‫ وﺕ آ ل‬:# /‫آ ی‬IPSec ‫ال‬ .

: ‫ر‬,PU)F‫ ا‬,‫ه‬/‫_ أﺥ‬O ‫ت‬,\‫ﻡ`ﺡ‬ ? 2=‫ ﺕ ی ﺕ‬: ‫ رات ا‬B ‫ اذا اردت د ا‬،‫ ز ا اﺡ ـ‬E ‫ ى ا‬K O2=‫ ﺕ‬7 ‫ واﺡ‬, w?# .١ Custom Policy .% 23 7‫ د‬/ , ?# ::‫ﺕ‬D‫ ا‬% AE # Firewall ‫ ا = ﺝ ار ﻥ ري‬, / -21 ‫ ا‬N‫ اذا آ ﻥ‬.٢ UDP 500‫ رت‬l # • Protocol Identifier (ID) number 51 for AH , number 50 for ESP ‫ ح ل‬K ‫• ا‬ . ( ‫ رت‬2 ‫ ا‬3‫ ر‬P B‫ ی‬ID ‫ وﺕ آ ل‬2 ‫ ا‬3‫ ان ر‬,t‫) ا ^ﺡ‬

: 5P8 ‫ )( ا‬IPSec ‫ ام ا ـ‬3U ‫ل ﻥ\ ى )( ا‬,I‫ﻡ‬

B .‫ ز‬E ‫ ا ا‬,-21 ‫ ا ا‬- ‫ ا‬O‫ ی‬G ‫ ر ل ﺡ]م ﻥ ت‬A ‫ ز‬E ‫ی? م ا‬ A ‫ ﺕ‬2 ‫ اﻥ ? آ‬C ,C ‫ ن ا‬-‫ ان ﺕ‬AE‫ ﻥ ت ی‬2 ‫ ی ان ا‬/ A ‫ ز‬E ‫ ا‬IPSec Driver ‫ی? م‬ B . ‫ا‬ C ‫ ك‬1 ‫ ام ا ح ا‬B ‫ ﺡ' وی ? ا‬2 # Negotiations ‫ زی‬E ‫ ﺡ' ت ا‬2 ‫ﺕ ا‬ ‫ وﺕ آ ل‬O‫ ی‬G , ‫ وآ‬، Secret Key 1 ‫ ص‬B ‫ ي ا‬K ‫و ا ح ا‬Shared Key ‫ ن‬-‫ ی‬Shared Key ‫ ك‬1 ‫ ن ا ح ا‬,t‫ ا ^ﺡ‬IKE -Internet Key Exchange . .,-21 ‫ ا‬, ? ‫ دون اﻥ‬# = ‫ ا‬23 K‫ ﺕ‬، Two types of Agreements ‫ زی‬E ‫ ت ا‬3 ‫ﺕ‬D‫ ﻥ ا‬IKE ‫ی? م ال‬ ^‫ د آ وﺙ ق آ‬/‫ول ی‬D‫ ع ا‬C ‫ ا‬. ‫ زی‬E ‫ ا‬، D‫ ا‬w ‫او روا‬Security Associations SA ‫ د آ‬/‫ ی‬:‫ ع ا ' ﻥ‬C ‫ وا‬، C 7‫ ﻥ ت ا در‬2 ‫ وﺡ ی ﺡ]م ا‬T‫ وآ ﺕ‬c 2 ‫ ا‬j 2 ‫ زی‬E ‫ا‬ ) . | ‫ ﻥ‬2 ‫ )ا‬O 2= ‫ د اﺕ ل ا‬/ ‫ﺡ ی ﺝ]ء وﻥ ع‬ IPSec ‫ ا‬A ‫ ز‬E ‫ ا‬1 ‫ ی ﺕ ی ح ا‬، IKE ,= ‫ ا‬,'‫ ﺡ‬2 ‫ اآ ل واﻥ ء ا‬ 7‫ ﻥ ت ا در‬2 ‫ ﺡ]م ا‬Hashes ‫ ه ش‬IPSec Driver ‫ ك‬/ ‫ﺙ ی ه!ا ا‬Driver ‫ی‬IPSec ) ‫ اﻥ ط ال‬t‫ ری )اﻥ‬6‫ وا‬، Data Integrity , ‫ ا‬3‫ ظ ا‬/ Data confidentiality .‫ ظ ی ا ت‬/ ‫ ﻥ ت‬2 ‫ ﺡ]م ا‬1‫ﺕ‬ e ‫ ﺡ‬، IPSec ‫ ال‬O 2= ‫ ج‬/‫ ﺕ‬D ‫ ات‬# K ‫ ى ' ا اوﺕ ات وا‬6D‫ ا‬,-21 ‫ﺝ ات ا‬ .,-21 ‫ وﺕ? م ی ه ا‬,‫ اﻥ ﺡ]م دی‬IPSec ‫ﺕ ﺡ]م ال‬ ‫ وی? م‬Integrity 3‫آ ا‬T ‫ ﻥ ت‬2 ‫ ﺡ]م ا‬f/ B ‫ ز‬E ‫ ص‬B ‫ا‬IPSec Driver ‫ی? م ال‬ . 2? K ‫ ا‬O 2= ‫ ﻥ | او ا‬2 ‫ ﻥ ت ا ا‬2 ‫ ری ( و ﺙ ی ار ل ا‬6‫ ی ﺕ )ا‬/ 1‫ ﺕ‬%

.١ .٢ .٣

.٤

.٥

.٦ .٧

IPSec Authentication : ,ًI ,H P3 ‫ ی‬C ‫ ر أى واﺡ ة‬6‫ وا‬. Authentication ‫ ـ‬B ‫ ق‬G ‫ ﺙ^ﺙ‬IPSec ‫ ی ا ـ‬.١ : C ‫ ة ﻥ? ط‬ . D ‫ أم‬Active Directory ‫ '^ ه ی ﺝ‬# . - ‫ ا ﺕ‬-21 ‫• ﻥ ع ا‬ A G ‫ ه‬IPSec Client & Server ‫و ـ‬I‫= ة ا‬B # . , ‫ ث‬/ ‫• ا !ى ﺕ ی أن ﺕ‬ ‫ ل‬D‫ أوراق ا ده ا‬O‫ ی‬G ‫ ی ی ون ة‬# . c 2 ‫ ا‬j 2 3 ‫ا ﺙ‬ ‫ م‬B K‫ ا ﺕ‬Authentication ‫ ق ـ‬G ‫ ی ﺙ^ﺙ‬Windows 2003 Server # IPSec .٢ : ‫ ا = ق ا '^ﺙ ه‬7!‫ وه‬. SA ‫ ء ا ـ‬C # ‫و‬I‫= ة ا‬B ‫^ل ا‬6

: Kerberos ‫ ا ﺕ ـ‬t‫ﻥ‬I‫ ا‬# ‫ م‬B K ‫ ا‬Default Authentication Protocol ‫ه ا ـ‬ ‫ إ‬a ? ‫ ل ا‬/ ‫ ی? م‬,‫ ﻥ‬# ‫ ﺕ‬2 - ‫ ا‬1# ‫ ﺡ‬#‫و‬. (Windows 2000 - 2003 – XP ) . NTLM Authentication ‫ وﺕ آ ل‬2 ‫ ه!ا ا‬:‫ﺕ‬T‫ وی‬Authentication 3 ‫ ا ﺙ‬O?/ ‫ وﺕ آ ل ا‬2 ‫ ه!ا ا‬# ‫ی‬ KDC -Kerberos ‫ س‬- ‫ ا‬l ‫ وی آ آ] زع ﺕ‬٢٠٠٠ ‫ وز‬C‫ ن وی‬- ‫= ق ا‬C ‫ا‬ ‫ت‬D ‫ﺕ‬D‫ ا‬T ^ ‫ وﺕ آ ل د‬2 ‫ ه!ا ا‬# ‫ی‬v5 Key Distribution Center . c 2 ‫ ا‬j ‫ ﺕ‬: ‫ ت ا‬3 =C ‫ ا‬:# ‫ﺝ ]ة‬I‫= ق أو ا‬C ‫ ا‬:# 7 j ‫ ن‬-‫ ﺕ‬: ‫ﺝ ]ة ا‬I‫ا‬ Authentication 3 ‫ ا ﺙ‬O?/ ‫ إ ادات ا‬w?# IKE ‫ م‬B K‫ی‬Trusted Domains .

•

•

‫ ا = اﺡ ى‬IPSec SA C I‫ ا‬w ‫ ﺹ وا‬B ‫ ا‬l ‫وی ﺕ ا ﺕ‬Kerberos. ‫ ﺹ ل‬B ‫ا‬ . IKE RFC 2409 :# / ‫ا = ق ا‬

: Certificates .. Authentication ‫ ض ا ـ‬k ‫ م‬B K‫ ﺕ‬Public Key Certificate ‫ ه‬Certificate ‫ا ـ‬ 6I‫ = ف ا‬Public Certificate ‫ ام ا ـ‬B ‫ﺕ ل‬D‫ ا‬# G ‫ ف‬G ‫ ی? م آ‬#‫و‬ ‫ ج‬/‫ ی‬,C- ‫ و‬great Security # ‫ وه ی‬. digital Signal Message ‫آ ا ـ‬T ‫ ض ا‬k Windows 2003 # ‫ ﺕ و‬2 ‫ آ‬# ‫ إ‬# ' ‫ ﺕ‬3 -21 / ‫ ا‬C2 # ‫ إ‬-‫إ ﺕ‬ ‫ﺝ ]ة‬I‫ ا‬O2=‫ ب ی‬I‫ﺡ_ أن ه!ا ا‬D‫ و‬. a ? ‫ ﺕ‬-1 Machine certificate ‫ی? م ﺹ ار‬ (Computer & User ) ‫ ح ـ‬K ‫ ﺡ إذا أردت ا‬# ‫ وه‬. B K ‫و \ ا‬ . % ‫ ﺹ‬B ‫ ا‬IPSec Machines ‫ن ﺕ ـ‬T ‫ ى‬6‫( أ‬Domain – OU) Digital ‫ وﻥ‬- D‫ دات ا‬1 ?#‫ ﺹ ا ا‬B ‫ ا وا‬l ‫ ام ا ﺕ‬B 1 ‫ ق ا‬G : Microsoft, Entrust, ' ‫ وﻥ‬- D‫ دات ا‬1 ‫ ا‬t‫ وی ا ی أﻥ‬،Certificates VeriSign, Netscape.

•

•

: Pre-Shared ‫ رة آ‬2 ‫ وا !ي ه‬، Pre-shared key 23 ‫ ك‬1 ‫ ا ح ا‬.. Pre-Shared ‫ا ـ‬ ‫ م‬B K : ‫ﺝ ]ة ا‬I‫ ا‬3 ‫ ا ﺙ‬O ?/ ‫ م‬B K‫ وﺕ‬,‫ ی‬t‫!ر وﺕ‬/ ‫ م‬B K‫ ﺕ‬Password . C #IPSec ‫ﺝ ]ة‬I‫ وﺕ? م ا‬. ‫ ﺕ‬2 - ‫ آ أﺝ ]ة ا‬7 ‫ ه ) آ – آ د – ﺝ ( ﺕ‬,K ‫ ﻥ‬Pre-Shared ‫وا ـ‬ . -21 ‫ ا‬2 ‫ ی إر‬D - ‫ ا‬7!‫وه‬. C Trust ‫ ء ا ـ‬C2 ‫ آ‬1 ‫ ا‬- ‫ ا‬7!‫ ام ه‬B # ‫^ع‬G{‫ أن ی ا‬- ‫ أى ی‬. 1 Q -1 Active Directory ‫ ا ـ‬# ‫]ﻥ‬B ‫ ن‬-‫ﺕ‬ D (Third Party product) ‫ ﺡ ا‬# D‫ ا = ی? إ‬7!‫ ام ه‬B l C‫ ی‬D‫ و‬. C H Q . ‫ ی‬6I‫ ام أى ا = ی? ا‬B ‫ﺕ ا‬ ، 2? K ‫ ا وا‬، ‫ زی‬E ‫ ا‬23 ‫ ن رف‬-‫ أن ی‬AE‫ ی‬،, ‫ أو آ‬, ‫ رة ﺝ‬2 ‫وه‬ ‫ م‬B K‫ وﺕ‬. IPSec ‫ ا ـ‬:# G ‫ أن ی‬AE‫ ی‬e ‫ ﺡ‬IPSec = ‫ ا‬C # ‫ دث‬/ ‫ ی ا‬:- ‫ دﺙ ت‬/ ‫^ل ا‬6 w?# ‫ م‬B K‫ ﺕ‬j‫ وأی‬، Application data‫ ? ت‬2= ‫ ﻥ ت ا‬1 T‫ ﺕ‬# = ‫ إذا ا‬# = ‫ ا ا‬23 # = ‫ ﺕ ا‬: ‫ا‬Negotiations Plain K ‫ ا‬6‫ د‬l ‫ وا‬f‫ ﻥ‬:# ‫ ك‬1 ‫ _ ه!ا ا ح ا‬/‫ وی‬، IPSec ‫ ام‬B ‫ﺕ ل‬D‫ا‬ ‫ ز‬E ‫ ا‬Administrator ‫ ﺹ^ﺡ ت ا ی‬% ‫ ی‬fB‫أى ﺵ‬text in the IPSec Policy. ‫]ی‬B‫ ن ﺕ‬- :# ‫= ق‬C ‫ ا‬:# j ‫ ز ا‬E ‫ ه!ا ا‬,# ‫ ه ی‬, ‫= ق‬C ‫ ا‬:# j ‫) او أى‬ Access ‫ ام‬B ‫ ا‬la‫= ق و ا‬C ‫ ی ا‬AE‫ !ا ی‬.‫ = أن ی ى ه!ا ا ح‬K‫ی‬IPSec) Domain ‫= ق‬C ‫ ا‬:# ‫ ء‬j I‫ ا‬C IPSec ‫ ي‬/‫ ر ا !ي ی‬K ‫ ا‬Controls O?/ ‫ ا‬:# ?‫ ا = ی‬7!‫ ام ه‬B l C‫ ﺕ‬D N# ‫ و‬-‫ ی‬t‫ ن أﻥ‬# ‫ !ا‬. ? ‫ ا‬7!‫ ه‬7‫ اء‬3 ‫ أو إذا‬w?# ‫ ر‬2 6D‫ وا‬A‫ ی‬E N B ‫ إذا ا‬D‫ إ‬IPSec t‫ أﻥ‬:# Authentication 3 ‫ا ﺙ‬ N# ‫ و‬-‫ ی‬l C‫ ﺕ‬،% ‫ و ل ذ‬. ,C ,‫ أو ﺝ ز ﺵ آ‬,C ‫ ﻥ | ﺵ آ‬NE ‫اﺡ‬ ‫ أو‬Digital Certificates ‫ وﻥ‬- D‫ دات ا‬1 ‫ أ ا‬، ‫ ﺕ‬6D‫ ام اﺡ ى ا = ی? ا‬B . C‫ﺙ‬D‫ أو ا‬Kerberos ‫ وﺕ آ ل‬

•

•

•

‫ﻥ‬,I ‫ا رس ا‬ Installing IPSec : ‫ ﻡ‬1‫ﻡ‬ Windows 2003 ‫ م‬t‫ﺝ ]ة ا ﺕ ﻥ‬I‫ ا‬# ‫ وری‬j ‫ وا‬I‫ ﺹ ا‬C ‫ ا‬/‫ ی ﺕ‬.١ Windows 2003 /‫ ﺕ‬C a ? ‫ ﺕ‬-1 IPSec Client ‫ وا ﺕ آـ‬server .server ‫ آ‬Policy ‫ = ب‬Q ,‫ ه أﻥ‬Windows 2003 Server t‫ﻥ‬I ‫ ا‬#D‫ً ا ا‬j‫ أی‬.٢ Windows 2003 ‫ ا ﺝ ]ة ا ﺕ‬#D‫ ك ا‬K # ‫ !ا‬. IPSec ‫ ام ا ـ‬B ‫ی ا‬ . a ? ‫ ﺕ‬-1 IPSec ‫ ام ا ـ‬B ‫ ه م ا‬server : ‫ ج إ‬/‫ ﺕ‬w?# %C- ‫ و‬. IPSec ‫ ـ‬Install ‫ ﺡ ﺝ إ‬# NK %‫ ه أﻥ‬E ‫ ا‬2B ‫ ا‬.٣ . ,‫ إدارﺕ‬# B K‫داة ا ﺕ‬I‫ ا‬/‫ﺕ‬ . ‫ دة‬/ ‫ ا‬Policy ‫ ا ـ‬k1‫ﺕ‬ . ‫ﺙ ا = ب‬T ‫ ل ا‬/ Filter

• • •

: The IPSec Policy management Snap-In ‫( وا !ى‬IP Security Policy Management snap-In) ‫^ل ا ـ‬6 IPSec ‫ی إدارة ا ـ‬ . MMC Console ‫ إ ا ـ‬, # ‫ وا !ى ی إ‬. IPSec Snap-In ‫ ـ‬, ‫ ر إ‬1‫ی‬ ‫ ا {دارة ا ـ‬B ‫ ا ﺕ ی ا‬a‫ ا‬2 ‫ ر اى ا‬6‫ ا‬% . IPSec Snap-In ‫ ا ـ‬/ ‫ ﺕ? م‬C . Local IPSec Policy

• •

: Local Computer ‫ )( ا ـ‬IPSec ‫ (ـ‬Enable 4 ) ‫ﺥ? ات‬ enter ‫ ح‬wk ‫ ﺙ‬MMC - 3 , #‫ ﺡ ار و‬% t #. Run C ‫ و‬. Start a 3 . MMC Console % t #. l ‫ ﺡ ا ﺕ‬ add/remove Snap In ‫ ر أ‬6 3 C ‫ و‬. MMC Console ‫ ا ـ‬# File a 3 l 3 ‫ زر‬wk ‫ ﺙ‬. (IP security Policy Management) ‫ ر‬6 3 , #‫ ر ﺡ ار و‬W . add Local I‫ ر ا‬6 3 , #‫ و‬. "secelct Computer or domain" % t‫ی‬ . Finish ‫ زر‬wk ‫ﺙ‬. Computer wk 3 , #‫و‬. MMC Console ‫ ا دة إ ا ـ‬# . ok ‫ ﺙ زر‬. Close ‫ زر‬wkj 3 . ‫ ى‬K ‫ ﺡ ا‬C ‫ ا‬# (IP Security Policy on Local Computer) ‫ ]دوج‬ Server (Request K ‫ و ا‬3 . MMC Console ‫ی ـ‬I‫]ء ا‬E ‫ ا‬# . (Assign) C ‫ أوا و‬a 3 % t # . Right Click 3 ‫ ﺙ‬. Security) : -1 ‫( آ‬Seclect Policy) ‫ ان‬C N/‫ ﺕ‬yes ‫ ر آ‬W ‫آ‬T‫ﺕ‬

• • • • • • •

a ,I ‍ا عس ا‏ Configuring IPSec : ‍ ‏1‍‏ Policy ‍ إ‏1‍ ďş? ŘŻŘŠ – ؼ‏Policy ‍ ) ďş• ŰŒâ€ŹO‍ ŰŒâ€ŹG IPSec ‍ ـ‏Configuration %C- â€ŤŰŒâ€Ź .(Policy ‍ ا ـ‏7!‍ ه‏O 2=‍ ﺕ‏# -/ ‍ ا‏# ‍ ا‏B ‍ ا اد ا‏Rules – Filter ‍ ا ـ‏KE‍ďş? ŰŒ ŘŠ ﺕ‏ ‍ ŰŒâ€Ź,‍ ‏# ‍ﺥ ال‏I‍ Ůˆ ďş? ا‏. ? 2=‍ ا ŘŁŰŒ ďş• ŰŒ ﺕ‏P3 ‍ ŰŒâ€Ź. ‍ ŰŒ ت‏K ‍ ؊‏Policy ‍ﺕ ؼداع؊ ا ـ‏ ‍ ŘĄ – ďş• ŰŒâ€Ź1â€ŤŘŻŮˆات Ů€ ) ؼ‏I‍ اŮ…  \ ا‏B ‍ ŰŒ ا‏,‍آ أ‏. Ů‹ ‍( {داعďş• ďş?‏IPSec Snap-in) ‍ اŮ… ا ـ‏B ‍ا‏ (Local Computer – Active Directory ‍ ى‏K ? 2=‍ ďş• ŰŒ ﺕ‏NC‍ ŘŞ ( اإ آ‏K ‍ا‏ . Policy) ‍ďş?]اإ ا ه!ا ا‏I‍ ا‏# ]‍ آ‏C C‍ ‏# . ‍ ب‏- ‍ ع؏ = Ů‚ ه!ا ا‏6 Group Policy ‍ن ؼداع؊ ا ـ‏Iâ€ŤŮˆâ€Ź . K ‍ ‏IPSec ‍ ŘĽ ادات ا ـ‏# ( -/ ‍ – ا‏f B‍ آ ) ﺕ‏

• •

•

IPSec ‍ [ ا ـ‏P?U R ;OU ‍ ا‏: FŮ‹ â€ŤŘŁŮˆâ€Ź ( Client & Server ‍[ )( ا ـ‏P?+) : Custom IPSec MMC Snap-In ‍إ‏,8‍ؼ‏ . Enter ‍ ح‏wk ‍ ﺙ‏. MMC - 3 . Run C ‍ Ůˆâ€Ź. Start a 3 . Add/remove Snap-In C ‍ Ůˆâ€ŹFile a 3 l # ‍ ع‏B ‍ ه ا‏Local Computer ‍آ أن ا ـ‏T‍ Ůˆďş•â€Ź. (Computer Management) # 3 ‍ ع‏B ‍ ه ا‏Local Computer ‍آ أن ا ـ‏T‍ Ůˆďş•â€Ź. (Group Policy object editor) # 3 Local ‍آ أن ا ـ‏T‍ Ůˆďş•â€Ź. Computer account ‍ ع‏6‍ Ůˆ ه ا‏. (Certificate) # 3 ‍ ع‏B ‍ ه ا‏Computer ‍ ه‏Local Computer ‍آ أن ا ـ‏T‍ Ůˆďş•â€Ź. (IP Security Policy Management ) # 3 ‍ ع‏B ‍ا‏ . (IP security Monitor) # 3 . IPSec Console Console ‍ _ ا ـ‏/ 3

• • • • • • • •

( Client & Server ‍[ )( ا ـ‏P?+) : ‍ز‏,;O ‍ )( ا‏P ‍ ا ا‏4 '8+ ‍ ŰŒ ا‏C ‍ﺥ ا؍‏I‍ ا‏EK‍ ŰŒ ﺕ‏e / . ‍ ز‏E ‍ ا‏Auditing 23‍ ا ا‏k1 ‍? م‏C ‍ ه!ا ا{ďş? اإ‏:# ‍ ŮˆŰŒâ€Ź. ‍ďş? ]؊‏I‍ ŰŒ ďş? ا ا‏IPSec ‍آ أن‏T ‍ ن ‏7!‍ ه‏K‍ Ůˆ‏. ?‍ﺥ‏D ‍ﺕ ل‏D‍ ا‏:# IPSec : ‍= ات ا‏B 23‍ ا ا‏k1‍ﺕ‏ IPSec C ‍ Ůˆâ€ŹAdministrative Tools C ‍ Ůˆâ€ŹPrograms C ‍ Ůˆâ€Ź. Start a 3 l 3 • . ? K ‍= ŘŠ ا‏B ‍ ا‏# ,a 1‍ ‏C # ‍ Ů„ ا !ى‏K‍ ‏- ‍ ŮˆŮ‡ ا‏. Console Local Computer Policy – Computer Configuration – Windows setting – • security setting – Local Policy – Audit Policy – Audit Logon Events . ok ‍ زع‏wkj 3 ‍ ﺙ‏. (Success – Failure) ‍ Řą آ‏6 3 • Local Computer Policy – Computer Configuration – Windows setting – • security setting – Local Policy – Audit Policy – Audit Object Access . ok ‍ زع‏wkj 3 ‍ ﺙ‏. (Success – Failure) ‍ Řą آ‏6 3 • ‍ ات‏k ‍ _ ا‏/ 3 •

: IPSec ‍ )( ا ـ‏P ‍ ا ا‏, R ;O+ k1 ‍ أن ? م‏AE‍ ŰŒâ€Ź. IPSec Policy ‍ ? م‏: ‍ ا‏C ‰‍ Ůˆا‏/‍ ďş?‏C ‍ت ا‏D ‍ﺕ‏D‍ ا‏23‍? Ů… ا‏C ‍دا؊ Ůˆďş• ŰŒâ€ŹI‍ ا‏7!‍ ه‏k1 ‍ Ůˆâ€Ź. ‍ ŘĄ اى‏1‍ ان ? Ů… ‏23 IPSec Monitor tool . 23‍ﺾ ďşľ ا ا‏ :: ‍ؼ اداďş• ? م‏ IPSec C ‍ Ůˆâ€ŹAdministrative Tools C ‍ Ůˆâ€ŹPrograms C ‍ Ůˆâ€Ź. Start a 3 l 3 • ? K ‍= ŘŠ ا‏B ‍ ا‏# ,a 1‍ ‏C # ‍ Ů„ ا !ى‏K‍ ‏- ‍ ŮˆŮ‡ ا‏. Console 3‍ Ůˆâ€Ź. % K ‍? ا‏#. ‍ ز‏E ‍ ا ا‏t #. (IP Security Monitor) ˆ ‍ ا اد‏3 • . (Properties) C ‍ ŘŁŮˆا Ůˆâ€Źa 3 t‍ ﺕ‏. â€ŤŰŒâ€ŹI‍ زع ا ع؊ ا‏wkj Ok ‍ زع‏wkj 3 ‍ ﺙ‏, ‍ ďş™ ‏٥ ‍ ؼ‏, ‍ ďş™ ‏٤ټ Refresh 3 k ‍• Ůˆ? م‏

٢٠٠٣ ‫ وز‬,$ ‫ﺹ‬,‫ أﻡ ﺥ‬, 4 '8+ : ,ً ‫ﻥ‬,H : Server ‫ﻡ )( ا ـ‬C‫ ا‬, X ‫ ا‬4 '8+ Administrator ‫ ب ا ـ‬K/ . Server ‫ ل ا ـ‬6 3 IPSec C ‫ و‬Administrative Tools C ‫ و‬Programs C ‫ و‬. Start a 3 l 3 ? K ‫= ة ا‬B ‫ ا‬# ,a 1‫ ﻥ‬C # ‫ ل ا !ى‬K‫ ﻥ‬- ‫ وه ا‬. Console (IP Security Policy on Local I‫ ا‬K‫ی‬I‫ زر ا رة ا‬wkj 3 . K‫ی‬I‫]ء ا‬E ‫ ا‬# . Computer) K ‫ ا‬3 ( ‫ ه!ا ا‬O ‫ ﺝ]ء‬# ‫ ه‬C‫ رات ) ﺵ ﺡ‬6‫ ﺙ^ﺙ ا‬C ‫ ﺡ ا‬C ‫ ا‬# t‫ﺕ‬ . (Assign) C ‫ أوا و‬a 3 t # . (Secure Server) I‫ا‬ . (Yes) ‫( إ‬No) O 2= ‫ ﺹ‬B ‫ ا‬K ‫ ﺡ ا‬k‫ﺡ_ ﺕ‬D

• • • • •

: Client ‫ﻡ )( ا ـ‬C‫ ا‬, X ‫ ا‬4 '8+ . Administrator ‫ ب ا ـ‬K/ . Client ‫ ل ا ـ‬6 3 IPSec C ‫ و‬Administrative Tools C ‫ و‬Programs C ‫ و‬. Start a 3 l 3 ? K ‫= ة ا‬B ‫ ا‬# ,a 1‫ ﻥ‬C # ‫ ل ا !ى‬K‫ ﻥ‬- ‫ وه ا‬. Console (IP Security Policy on Local I‫ ا‬K‫ی‬I‫ زر ا رة ا‬wkj 3 . K‫ی‬I‫]ء ا‬E ‫ ا‬# . Computer) K ‫ ا‬3 ( ‫ ه!ا ا‬O ‫ ﺝ]ء‬# ‫ ه‬C‫ رات ) ﺵ ﺡ‬6‫ ﺙ^ﺙ ا‬C ‫ ﺡ ا‬C ‫ ا‬# t‫ﺕ‬ . (Assign) C ‫ أوا و‬a 3 t # . (Client – respond only) I‫ا‬ . (Yes) ‫( إ‬No) O 2= ‫ ﺹ‬B ‫ ا‬K ‫ ﺡ ا‬k‫ﺡ_ ﺕ‬D

• • • • •

: ‫? ة‬3 ‫ ا‬e/‫ ه‬U‫ ﺡ‬,* ‫ت و ح ( ا‬,\‫ﻡ`ﺡ‬ . Client ‫ ی آـ‬:‫ ز ا ' ﻥ‬E ‫ وا‬. Secure Server ‫ ا‬# K‫ ﺝ ز ی آ‬% ‫ ﻥ‬/‫ا ن ﻥ‬ O‫ ی‬G ) ,C T Q ICMP Echo Packets ‫آ ? م ا ر ل ﺡ] ﻥ ت‬T ‫ ا‬-1 ‫ت‬D ‫ﺕ‬D‫ دﺙ ت وا‬/ ‫ ا‬:3 ‫ ا أن ﺕ‬# K ‫ ا‬A = - ‫ و‬# K (Ping ‫أداة‬ .% ! ‫ ا‬A E K ‫و‬ ‫ أن ی‬23 IPSec ‫ ل‬,C T ‫ إ ا‬,‫ ﻥ‬# Ping I‫ ء ا‬2 # K ‫ م ا‬3 ‫ إذا‬- ‫و‬ . -21 ‫ا‬ I‫ ی ا‬,‫ ﻥ‬# ، ‫? ﺝ ز ا‬2= Secure Server ‫ ا‬# K ‫ ا‬N‫إذا آ ﻥ‬ T‫ ﺕ‬# Client ‫? ن ا‬2=‫ ن ی‬# = ‫ إذا آ ن ا‬j‫ وأی‬.. IPSec. ‫ ل‬,C T‫ ﺕ‬23Ping .,‫ دﺙ ی‬/ ‫ ن ا‬-‫ أن ﺕ‬A =‫ ی‬C ‫ن أى‬D ‫ إر‬23 ‫ ﻥ ت‬2 ‫ا‬ Windows 2003 k1 ‫ م ا‬tC ‫ ﺹ‬6 IPSec Policy C ‫ ام ت أ‬B C 3 C‫ ه‬C‫ﺡ_ أﻥ‬D 3 ‫ ا ﺙ‬O?/ ‫ وﺕ آ ل ا‬2‫ آ‬Kerberos ‫ م وﺕ آ ل‬B K‫ ت ﺕ‬K ‫ ا‬7!‫ إن ه‬. Server .‫ ن ا ﺝ ا‬- K# ، ‫= ق‬C ‫ ان‬j C‫ زان ه‬E ‫ن ا‬I‫و‬Authentication .

•

• •

•

: ‫ﻡ‬C‫? ا‬$‫ ا ا‬4 ) ‫ر‬,PU‫اﺥ‬ . OK ‫ زر‬wkj 3 ‫ ﺙ‬. CMD - 3 .. Run C ‫ و‬. Start a 3 .. Client ‫ ا ـ‬ . Server ‫ ص ـ‬B ‫ ا‬IP ‫ ـ‬Ping 3 C I‫ أن ﺕ ى ا ﺹ ا ا = ا‬AE‫ ی‬، IPSec Monitor window 23‫ارﺝ إ ﺵ ﺵ ا‬ ‫ ا ت‬c ‫ و‬Authentication 3 ‫ ﻥ ت ا ﺙ‬j j‫ وأی‬، ‫ زی‬E ‫ت ا‬T1‫ ﻥ‬: ‫ا‬SA . ‫ د‬2‫ ﺕ ﺕ‬: ‫ا‬ ‫ ن ا د‬- K# ، ‫ زی‬E ‫ ا‬SA C I‫ ا ا = ا‬O ?/‫ أن ﺕ ﺕ‬2G .. Ping ‫ دة أ‬3 ‫ا ن‬ 2= ‫ ا‬/ ‫ ا‬:# ‫ آ‬I‫ا‬ ‫ إ‬Computer Management :# l ‫ ﻥ‬،MMC ‫ ى ـ‬K ‫ ا‬a ? ‫ ا‬. Client ‫ ا ـ‬ ‫ ]دوﺝ‬7 ?‫ واﻥ? ﻥ‬Security log . wk ‫ وا‬Event Viewer ‫إ‬System tools MMC . C ‫ ا‬E ‫ ا ا‬:# ‫ ا ﺝ د‬log ‫ا ـ‬ C I‫ ا = ا ا = ا‬N??/‫ ﺕ‬: ‫ ا‬/‫ ﺝ‬C ‫ت ا‬D ‫ﺕ‬D‫ ا‬2‫ ﺕ‬: ‫ أن ﺕ ى ا ن ا ? ری ا‬% AE‫ی‬ ‫ ? ی‬1 ‫ ﺕ? ی ا‬:= ‫ أن ی‬AE‫ی‬. ‫ ا ? ی‬P‫ ا ﺹ‬:3 ‫ ى‬w‫ ی‬1 ‫]ی ا‬C 3 IPSec SA .

.١ .٢ .٣ .٤ .٥ .٦

IPSec k1‍ Ůˆďş•â€ŹC ‍ ďş• عا = ا‏,‍ ا‏:C ‍ ŮˆŮ‡!ا ŰŒâ€Ź. (IP ‍ ŮˆŰŒâ€ŹC ‍ م‏3‍ ^٠أع‏6‍ ا‏2G): ‍ا‏ . ‍ زŰŒâ€ŹE ‍ا‏ IKE security association established Mode: Data Protection Mode (Quick Mode) Peer Identity: Kerberos based Identity: hq-res-wrk-01$@RESKIT.COM Peer IP Address: 10.10.1.5 Filter: Source IP Address 10.10.1.6 Source IP Address Mask 255.255.255.255 Destination IP Address 10.10.1.5 Destination IP Address Mask 255.255.255.255 Protocol 0 Source Port 0 Destination Port 0 Parameters: ESP Algorithm DES CBC HMAC Algorithm SHA AH Algorithm None Encapsulation Transport Mode InboundSpi <a large number>1128617882 OutBountSpi <a large number>865899841 Lifetime (sec) 900 Lifetime (kb) 100000

‍‏C‍ت ا‏, , X ‍[ Ůˆ)( ا‏$,X ‍ل ا‏,I ‍ت )( ا‏,\‍ `ﺥ‏: ,Ů‹I ,H :‍؊‏R;6C‍ )( ا‏Secure Server @‍‏g‍ ا‏X ‍ ا‏, Hf+ ‍ﺕ ل‏D‍ = ن ا‏K‍ ŰŒâ€ŹIPSec Clients ‍ ^إ‏w?# Secure Server ‰‍ ا‏# K ‍ ﺥ ا‏:# # K ‍ا‏ ‍ م‏t‍ ‏:# / ‍ )آ ا‏, IPSec O2=‍ ŰŒâ€ŹD ‍ م‏t‍ ŘŁŮŠ ‏e‍ ŰŒâ€Ź/ ‍ ا‏I‍ ا‏# K ‍ ا‏- ‍ ŰŒâ€Źjâ€ŤŮˆŘŁŰŒâ€Ź . IPSec. ‍ ام‏B ‍ آ‏/ ‍ ا‏T‍ ؼذا ďş• ﺕ‏D‍ ؼ‏... (DNS -Domain Name System ) ‍ اďş• Ůˆ ďş•? ŘąŰŒâ€Ź1# K# ŘŒ # K ‍ ا‏: 6 -1 ‍ ŘŞ ﺕ‏B ‍' ا‏- ‍ن ا‏Dâ€ŤŮˆâ€Ź ‍ آ ﺥ]  ت‏T‍ ďş? ا ďş• Ů ŘĽ ﺕ‏2 ‰‍ ا‏# K ‍ن ا‏D . : 2G ‍إ‏:‍ ŮˆŮ‡!ا ﺾ‏.% ‍ذ‏ . -21 ‍ ďş? ŘĽ ا‏B‍ أن ﺕ‏23 N‍ آ ‏Packet ‍ ع‏I‍ ا‏7!‍ عات آ ه‏2 D‍! ا‏6T‍ آ ﺕ‏IPSec ‍ إ‏C ‍ ŰŒâ€Ź,‍ ‏# ? ?/ ‍ ŘŞ ا‏-21 ‍ ا‏:# ‍ !ا‏ - -21 ‍ ا‏:# C I‍ ا‏%‍ ) ďş•= ﺕ‏A C‍ Ůˆďş•â€Ź%2 C‍ ﺕ‏: ‍ ا‏K ‍ ŘĄ ا‏C ‍ ه‏C % ‍ !ا‏. -21 ‍ ا‏:# ‍ ات‏k â€ŤŮˆا‏ . ( ‍ ﺕ‏: ‍ďş? ]ŘŠ ا‏I‍ ا | Ůˆا‏2 ‍ Ůˆا‏- -21 ‍ ŘĄ ا‏C ‍ Ůˆâ€Ź- ‍ ه‏2G

• • •

•

Allowing Non-IPSec Clients X ‍(^  ا‏5U ,$ IPSec ‍ح ' ) `إ‏, X ‍ا‏ To Talk with A Server O2=‍ ه أن ‏C C # ŘŒ IPSec ‍ م‏t‍ ن ‏B K‍ ŰŒâ€ŹD ‍ Ř­ ^إ‏K ‍ ŘĽ ا‏CE ‍ اﺥ‏C‍ ﺥ Ů„ أ‏:# jâ€ŤŘŁŰŒâ€Ź ‍ﺕ ل‏D‍ ا‏T‍ ﺕ‏a‍ دا‏A = ‍ ﺕ‏K ‍ ا‏7!‍ ه‏Secure Server. ‰‍ ا‏# K ‍ ا‏D Server # K ‍ا‏

•

, ‫ ث‬/ ‫ ی ا‬j‫ أی‬,‫ ﻥ‬#IPSec ‫ م ال‬B K‫ ا = ف ا ی‬-‫ إذا ی‬- ، IPSec ‫ ام‬B ‫ إذا‬- ‫ و‬، IKE ‫ ام‬B ‫? ش‬C ‫ ا‬A G ‫ ﺡ ل ی د ا‬:#)‫ﺕ ل‬D‫ ا‬T‫ = ق ا دی دون ﺕ‬ A G ‫ إذا ﺕ ? ط‬IPSec ) ‫ دﺙ‬/ ‫ ء‬2 ‫ ا ر ی ا‬# IKE ‫ ﻥ? ش‬A G ‫ م ا د‬3 .:‫ ﺝ ی إ ا = ف ا ' ﻥ‬A G ‫ ة‬C3 l # ‫ ﺙ ی د‬،7 ‫ واﺡ‬,? 3‫ ة د‬, C ‫ﺕ ل‬D‫ ن ا‬# ، ‫ دﺙ‬/ ‫ا‬ ‫ ا‬B ‫ ع ا ^ﺕ وا‬:# , ‫ = ق إ‬C ، I‫ = ة ه!ا ا‬K ‫)و‬ ‫ ا‬N‫ )أن آ ﻥ‬N?2G : ‫ ت ا‬K ‫ ء ا‬k ‫ ﻥ? م‬،, N‫ آ ﻥ‬: ‫ﺝ ]ة إ ا ا‬I‫و{ دة ا‬ ‫ ر‬B‫ ﺙ ﻥ‬، ‫? ]ر ا وس‬C ‫ ا‬O‫ ی‬G Secure Server ) ‫ ا‬# K ‫أو ا‬Client Unassign

•

‫ ة‬6 ‫ أﻡ‬, ‫ء‬,8‫ إﻥ‬: ,ً9$‫را‬ : ‫ ﻡ‬1‫ﻡ‬ ‫ آ‬/ ‫ ا‬T . ‫ ه]ة‬E ‫ ا '^ﺙ ا‬Windows ‫ ام إﺡ ى ت ا ـ‬B C 3 ،O K ‫ ا رس ا‬:# .١ ‫ ت‬l2 ‫ ﺕ‬e ‫ ﺡ‬C ‫ ﺹ‬6 ‫ ء‬1‫ أن ﻥ? م ﻥ‬# AE‫ ﺹ ی‬6 ‫ت‬D ‫ ك ﺡ‬C‫ ه‬- . ‫ زی‬E ‫ا‬ : ‫ ء ﺝ ی ة‬1‫ إﻥ‬# AE‫ت ا ی‬D / ‫ ا‬7!‫ و ه‬. ! C‫ ﺕ‬/ NK ‫ ه]ة‬E ‫ وز ا‬C‫ا ی‬ ‫ ء‬C ‫ ج إ‬/‫ ﺕ‬%‫ ﻥ‬# . ,K ‫ ﻥ‬Domain ‫= ق‬C ‫ ا‬:# ‫ ء‬j ‫ أ‬Q ‫ آ ﺝ زی‬/ ‫• أن ﺕ ا‬ O?/ Kerberos ‫ م وﺕ آ ل‬B K‫ وز ﺕ‬C‫ ا ی‬:# ‫ ت ا ﺝ دة‬K ‫ن ا‬D % ‫ وذ‬. a C2 ‫ ﺹ ﺕ? م‬6 . Domain A = ‫ وا !ي ی‬Authentication 3 ‫ ا ﺙ‬ .IP Address -21 ‫ ان ا‬C ‫ د‬D ‫ آ‬/ ‫• إذا أردت أن ﺕ ا‬ : ‫= ات ه‬B ‫ ا‬7!‫ وه‬. 2‫ إﺕ‬AE‫= ات ی‬6 ‫ ك ة‬C‫ ه‬. IPSec ‫ ء‬1‫ {ﻥ‬.٢ . K C I‫ ا ? ا ا‬j‫• ﻥ‬ Filter list - ‫ ا ^ﺕ‬a 3 ‫ ) و‬1‫ وه ﺕ‬.. IPSec Policies ‫( ـ‬Configuration) • . ( Filters Actions . ‫ د أ ل ا ^ﺕ‬/‫ﻥ‬

IPSec , ‫إ) اد‬ . (IPSec Console) K ‫ وا‬O K ‫]ء ا‬E ‫ ا‬# ,a 1‫ ﻥ‬C 3 ‫ ل ا !ى‬K‫ ﻥ‬- ‫ ا‬l 3 . # K ‫ ا‬ a 3 t # . IP Security Policies on local Computer ‫ی‬I‫ زر ا رة ا‬wkj 3 IP ‫ ان‬C N/‫ ﺵ ﺵ ﺝ ی ة ﺕ‬% t ‫ و‬. ( Create IP Security Policy. ) C ‫أوا و‬ Next .wk ‫ ﺙ ا‬،Security Policy Wizard . Next ‫ زر‬wkj 3 ‫ ﺙ‬. ‫ ی ة‬E ‫ ا‬K ‫ ا ا‬- 3 next. ‫ ﺙ‬. Activate the default response rule ‫ وق‬C‫ ﺹ‬l‫ ء ^ ﺹ‬k 3 wk ‫( ﺙ ا‬% !‫ﺹ آ‬I‫ ا‬:# ‫ ر)وه‬B Edit Properties fa B ‫ ر ﺕ ی ا‬6 ‫آ أن‬T‫ﺕ‬ Finish . wk ‫ و ﺙ ا‬.. Use Add Wizard ‫ ر‬6‫آ ا‬T‫ ﺕ‬، N 3 : ‫ ا‬K ‫ ا‬fa 6 :# Security Rules . I‫ ا ا‬3 ‫ ای‬2 Add wk ‫ ( ﺙ ا‬This rule does not specify a tunnel)‫ ر‬B ‫ ر ا‬6‫ ﺙ ا‬، Next wk ‫ا‬ Next . Next .wk ‫ ( ﺙ ا‬All network connections ) ‫ ص ـ‬B ‫ ر ا ]ر ا‬6‫ا‬ ‫ ا ع‬# ً' ‫ ) راﺝ ﺙ‬. Next ‫ زر‬wk ‫ ﺙ‬. ‫ ره‬6 . Authentication Method ‫ ی ا ـ‬/‫ﺕ‬ . ( ‫ ى‬6‫ ی? دون أ‬G ‫ ر‬6‫ ف آ ا‬. ‫ول ه!ا ا‬I‫ا‬ ( ‫]ء ا‬E ‫ ا‬# – ‫ ﺡ – إن ﺵ ء ا‬1C ) . Next wk ‫( ز ﺙ‬IP Filter List ) ‫ ی ا ـ‬/‫ﺕ‬ ( ‫]ء ا‬E ‫ ا‬# – ‫ ﺡ – إن ﺵ ء ا‬1C ) .. Next wk ‫ ﺙ‬. Filter Action ‫ ی‬/‫ﺕ‬ . Finish wkj 3 #‫ و‬. Wizard ‫ ا ـ‬# / ‫ ﺹ‬6‫ ر أ‬W

• •

• • • • • • • • • •

: Filter List ‫* ا ـ‬+ . (IPSec Console) K ‫ وا‬O K ‫]ء ا‬E ‫ ا‬# ,a 1‫ ﻥ‬C 3 ‫ ل ا !ى‬K‫ ﻥ‬- ‫ ا‬l 3 . # K ‫ ا‬.١ a 3 t # . IP Security Policies on local Computer ‫ی‬I‫ زر ا رة ا‬wkj 3 .٢ . ‫ ار ا‬/ ‫ ا‬% t . ( Manage IP Filter Lists & Filter Action ) C ‫أوا و‬ . (Manage IP Filter Lists ) A‫ ی‬2‫ ل إ ﺕ‬6 3 , #‫و‬

: ‍ ـ‏3 , #‍ Ůˆâ€Ź. ‍ اع ا‏/ ‍ ا‏% t # . O K ‍ اع ا‏/ ‍ ا ďş? ŘŻ ŘŁ ا‏add ‍ زع‏wkj 3 .ŮŁ

P‍ Ůˆďşšâ€Ź- ‍• آ ا‏ . ‍ ا ďş? ŘŻ ŘŁ ŰŒ ا‏Add ‍ زع‏wk • : ‍ ا‏3 , #‍ Ůˆâ€Ź. wizard ‍ ع‏W .٤ . ‍ ŘŁŮˆŮ„ ďşľ ﺾ‏# Next wk • . next ‍ زع‏wk ‍ ﺙ‏. (Source address) ‍ ‏6 N/‍( ﺕ‏My IP Address) ‍ ع‏6‍• ا‏ Next ‍ ﺙ‏. (Destination address) ‍ ‏6 Client ‍ ز ا ـ‏E IP address ‍ ŰŒâ€Ź/‍• ﺕ‏ . Next ‍ﺙ‏. (Select Protocol Type) ‍ ‏6 % ‍ ŮˆŘ°â€Ź. 23 ‍ Ůˆďş• آ Ů„ ا اد‏2 ‍ Řą ا‏6‍• ا‏ . Finish wk ‍ ďş™ ا‏. ‍ ع‏B Q (Edit Properties) ‍ ع‏B ‍• اďş? ا‏ . ok ‍ زع‏wkj 3 3‍ Ůˆâ€Ź. ? K ‍ ďşľ ا‏1 ‍ ŘĽ ا‏% ‍ ŰŒ د‏.ŮĽ . Ok wkj 3 #â€ŤŮˆâ€Ź. (Manage IP Filter Lists & Filter Action) ‍ ŘĽ ďşľ ﺾ‏% ‍ ŰŒ د‏.ŮŚ

: Filter Action +`& ‍ل ا‏,9 ‍* أ‏+ (IPSec K ‍ Ůˆا‏O K ‍]ŘĄ ا‏E ‍ ا‏# ,a 1‍ ‏C 3 ‍ Ů„ ا !ى‏K‍ ‏- ‍ ا‏l 3 . # K ‍ ا‏.ŮĄ . Console) t # . IP Security Policies on local Computer â€ŤŰŒâ€ŹI‍ زع ا ع؊ ا‏wkj 3 .٢ ‍ اع‏/ ‍ ا‏% t . ( Manage IP Filter Lists & Filter Action ) C ‍ ŘŁŮˆا Ůˆâ€Źa 3 . (Manage Filter Action ) A‍ ŰŒâ€Ź2‍ Ů„ ŘĽ ﺕ‏6 3 , #‍ Ůˆâ€Ź. ‍ا‏

. add ‫ زر‬wkj 3 ‫ ﺙ‬. (Use add Wizard) ‫ ﻥ‬6 # l‫آ وﺝ د ^ ﺹ‬T‫ﺕ‬ : ‫ ا‬3 , #‫ و‬wizard ‫ ر‬W . ‫ أول ﺵ ﺵ‬# Next wk

Next ‫ﺙ زر‬. (Partner Filter Action) ‫ ا‬K 3 next ‫ زر‬wk ‫ ﺙ‬. Negotiate security ‫ ر‬6 3 (Do not communicate with computers that do not support ‫ ر‬6 3 . Next ‫ﺙ‬. IPSec ‫ ﺕ‬D ‫ﺝ ]ة ا‬I‫ ث ا‬/ ‫ ﺕ‬D ‫ أى‬. IPSec) . Next wk ‫ ﺙ‬. (Integrity Only) ‫ ر‬6 3 . Finish wk ‫ ﺙ‬. ‫ ر‬B Q (Edit Properties) ‫ ر‬B ‫آ أن ا‬T‫ﺕ‬ . Close wkj 3 , #‫و‬. O K ‫ ار ا‬/ ‫ إ ا‬% ‫ی د‬ . j‫ أی‬Client ‫ ا ـ‬Filter action ‫ ﺹ ـ‬B ‫= ات ا‬B ‫ ا‬% ‫ ! آ ﺕ‬C 3

.٣ .٤

.٥ .٦

: Configuring an IPSec Filter List +`& ‫ ا‬h, ‫ت )( إ) اد‬,\‫ﻡ`ﺡ‬ ‫ إ‬, # ‫ أى ی إ‬، IP Layer ‫ ى‬K ? ‫ دروس‬:# C# ‫ آ‬IPSec ‫ی ا‬ C e ‫ ﺡ‬، Filters ‫^ﺕ‬# O‫ ی‬G ‫]م‬/ ‫ ا‬O?/ ‫ ی ا‬% ! ، IP Packets ‫ ﻥ ت‬2 ‫ﺡ]م ا‬ % !‫ وآ‬، C ‫ أم‬،D ‫ أم‬C T‫ ﺕ‬AE‫]م ی‬/ ‫ﻥ اع ا‬I‫ ا‬7!‫ ه‬N‫ ا ^ﺕ إذا آ ﻥ‬:# e/2 ‫ا{ر ل ی ا‬ . ‫ ل‬2? D‫ ا‬C ‫ وا ^ﺕ‬،IPSec in transport mode ‫ ل‬-/ ‫ ﺕ? م‬: ‫ ا ^ﺕ ا‬: ‫ ك ﻥ ا ^ﺕ‬C‫ه‬ ‫]م‬/ ‫ ﺝ ا‬: ‫ إ‬:‫ ع ا ' ﻥ‬C ‫ ا‬# ‫ ی إ‬e ‫ﺡ‬IPSec in tunnel mode . ‫ ا ـ‬:# -/ ‫ ﺕ? م‬: ‫ا‬ ‫ول‬I‫ ع ا‬C ‫ﻥ ? ل إ ا‬D‫ ی ا‬,‫ ﻥ‬# ،‫]م‬/ ‫ إذا ی = ? أى ا ^ﺕ ا‬،% ‫ و ذ‬،,? 2=‫ ﺕ‬C D : ‫ ﻥ ت ا‬2 ‫ أﻥ اع ا‬c ‫ ك‬C‫ ه‬j‫ وأی‬.. # e/2 ‫ ( وا‬IPSec transport mode ) ‫^ﺕ‬# . IPSec C ‫ی‬ ‫ و \ أ س‬، -21 ‫ وی ا‬C ‫ ن أ س‬-‫ أن ﺕ‬AE‫ ی‬IPSec tunnel ‫ م‬t‫ ﻥ‬:# ‫أن ا ^ﺕ‬ ‫ أ س‬C2 ‫ ا ^ﺕ‬N‫ إذا آ ﻥ‬,‫ﻥ‬I ، Ports !# C ‫ م ا‬3‫ت أو أ س أر‬D ‫ وﺕ آ‬2 ‫ا‬ ‫ ی‬6 ‫]ء ا‬E ‫ وا‬، TunnelO C ‫ ا‬6‫] دا‬/ ‫ ﺝ]ء ا‬T‫ ﺕ‬،! C ‫ وﺕ آ ل أو ا‬2 ‫ا‬ Unicast Kerberos IKE, ‫) ا آ ذآ ﻥ ? أن‬.‫ را‬# ]/ ‫ ا‬7!‫ ه‬w?K ‫ ه‬C ،,C T‫ﺕ‬ packet forwarding, or the O‫ ی‬G O C ‫إذا ﺕ إر إ ا‬or RSVP packets ‫ ا ـ‬T‫ ءا ﺕ‬C' ‫ ون ا‬2 ‫ ی‬D ‫ ه‬C ،Routing and Remote Access Service D‫ ءات و‬C' ‫ ا‬2 ‫ وإﻥ ﺕ‬C T‫ ی ﺕ‬Dmulticast or broadcast packets - ،IPSec . O C ‫ ا‬2 ‫ﺕ‬ ‫ ا ^ﺕ‬a 3 K‫ ﺕ‬7 ‫ واﺡ‬, E :# E‫ ی ﺕ‬، K ‫ ا‬:# ‫ ی و‬: ‫ ا ^ﺕ ا‬E ‫أن‬ ? = ‫ ی‬K‫? وﺕ‬2= ‫ ا ا ^ﺕ ا ? ة ا‬a ? ‫ ا‬7!‫ ه‬K‫ ﺕ‬e ‫ ﺡ‬،Filter list \ ‫ ﻥ‬O2=‫ ﺕ‬: ‫ﺝ ]ة ا‬I‫ ا‬Filter lists ‫ ا ^ﺕ‬a‫ ا‬3 ,‫ رآ‬1 ‫ ا‬AE‫ وی‬.‫ ﻥ ت‬2 ‫ﺡ]م ا‬ . C # B ‫ أو ت‬K ‫ا‬

.١

.٢

.٣

.٤

a‫ أن ﺕ دا‬،,C ‫ ن‬-‫ أن ﺕ‬AE‫ ی‬: ‫ آ ا‬/ IPSec ‫^ﺕ‬# ‫ إ اد‬C j‫آ أی‬T‫ ﺕ‬.٥ 2? K ‫]م ا‬/ ‫ ا‬، 2‫ ﻥ‬E ‫ ا ^ﺕ آ^ ا‬O 2=‫ ا ﺕ‬7!‫ ﺕ ه‬e ‫ ﺡ‬، Mirrors Inbound and outbound packets . ‫وا‬ IPSec ‫ م‬B K‫ ﺕ‬D : ‫ﺝ ]ة ا‬I‫ ث ا‬/ IPSec ‫ م‬B K‫ ﺕ‬: ‫ﺝ ]ة ا‬I ‫ ح‬K ‫ ی? ن‬G ‫ ك‬C‫ ه‬.٦ ::‫وه‬ Q ‫ ن‬-‫ او ن ﺕ‬C ‫]م‬/ ‫ ح‬K ‫ ی ه!ا ا ا‬e ‫ ﺡ‬، Permit ‫ ا‬# ‫ ام‬B 3 ‫ آ ا ﺕ ی‬/ ‫ ا‬O =‫ ی ﺕ‬# ‫ ام‬B ‫ ام ه!ا ا ا‬B 3 .‫ ز‬E ‫ ور إ ا‬,C ‫ دون‬ICMP , DNS , SNMP ‫]م‬/ ‫ ح‬K ‫ ی ا‬، ‫ت ا دی‬D / ‫ ا‬:# . T‫ ح ور دون ﺕ‬K Default ' Destination IP ‫ ن‬- ‫ !ه ب إ‬T‫]م دون ﺕ‬/ ‫ ح‬K ‫ أو‬، T‫ﺕ‬ gateway , DHCP , DNS servers , NON-IPSec systems ‫ ث‬/ ‫ ز ا‬E l ‫ ا !ي ی‬Fall back to unsecured communication ‫ ر‬B ‫ ام ا‬B 3 Wizard ‫^ل ا ـ‬6 :# ‫ ر‬B ‫ ه!ا ا‬t‫ وی‬،, B K‫ ﺕ‬D‫ و‬IPSec ‫ ﺕ ف‬D : ‫ﺝ ]ة ا‬I‫ا‬

•

•

: Active Directory ‫ ة إ ا ـ‬O ‫ ا‬, X ‫ ا‬, ‫آ & إ‬ : $ 1 ‫ ا‬/ ‫ات ا‬+J. ‫ ا‬D ,‫ ﺏ‬QG . Enter ‫ زر‬aEn‫ ﺏ‬QG Q‫ ﺙ‬. MMC ‫ ﺏ‬/ ‫ ﺏ‬QG . Run ‫ و‬Start .١ . (Add/ remove Sanp-in) ‫ و‬File R G j/0‫ ﺏ‬QG W $‫ و‬. ‫ رغ‬$ ‫ل‬+1‫ﻥ‬+‫ر آ‬+ V .٢ . (Group Policy Object Editor) $ Sk‫ ﺏ‬QG .٣ . Brows ‫ زر‬aEn‫ ﺏ‬QG W $‫ و‬. / ‫ار ا‬+ ‫ ا‬P‫ ﺏ‬3 .٤

ok ‫ زر‬aEn‫ ﺏ‬QG Q‫ﺙ‬. (default Domain Policy ) ‫ ر‬/‫ ﺏ ﺥ‬QG W $‫ و‬. / ‫ار ا‬+ ‫ ا‬P‫ ﺏ‬e 3 .٥

. finish ‫ زر‬aEn‫ ﺏ‬QG .٦ ‫ل‬+1‫ﻥ‬+ ‫ع إ ا‬+‫ ﺏ ﺝ‬.٧

Fโ ซุง ุฑุณ ุง ุง๏บ โ ฌ Configuring IPSec for Tunnel Mode : โ ซ ๏ปกโ ฌ1โ ซ๏ปกโ ฌ โ ซู ุฃู โ ฌn โ ซ ุฃโ ฌP J/1โ ซ ู ๏ปฅโ ฌ. Transport Mode โ ซ ุง ู โ ฌ$ IPSec โ ซ ู ุง ู โ ฌ./1โ ซ ๏บต ๏บก ุข ๏ปฅโ ฌYโ ซ ๏บ โ ฌ1 โ ซ ุง 'ุก ุงโ ฌ$ . โ ซ ุฉ 'ุงโ ฌY / IPSec Tunnel โ ซ ุงู ุง ู โ ฌ./%โ ซ ุงโ ฌr โ ซ๏บกโ ฌ. Tunnel Mode โ ซ ุง ู โ ฌ$ W ./1โ ซ๏ปฅโ ฌ Nโ ซ ู ุง ๏บ ุฅ ๏บ โ ฌP qโ ซ ๏ปฅโ ฌ/โ ซ๏ปฅโ ฌuโ ซู ุงโ ฌ5โ ซ ู ๏บฅโ ฌ0โ ซ ๏บ โ ฌ+โ ซ ๏บ โ ฌ. Subnet โ ซ ๏บ ุง๏บ ู โ ฌtunnel โ ซุฅ ๏ปฅ ุฅ๏ปฅ ุกโ ฌ . Q โ ซุง๏บ ] ู ๏บฅ ุต ๏บ โ ฌ Remote access โ ซ๏ปฅ ุก ุง๏บ ] ู โ ฌu Client โ ซ ุฃ๏ปฅ ู โ ฌ0 ,โ ซ ] ๏บ โ ฌg IPSec Tunnel โ ซุง ู โ ฌ โ ซ ู โ ฌ3 โ ซ ๏บ โ ฌD ,โ ซ ๏บ โ ฌ/ โ ซ ุงโ ฌe/ โ ซ ๏บตโ ฌD โ ซ๏บนโ ฌ+โ ซ ู ๏บ โ ฌ./1โ ซ ๏บ โ ฌ/ โ ซ ุงโ ฌJ โ ซ ู ] ๏บ " ุงโ ฌ.. VPN Connection D] Tunnel โ ซ ุฅ๏ปฅ ุกโ ฌP J/1โ ซ ๏บ โ ฌeโ ซ ุข ุฃ๏ปฅโ ฌ. Remote Devices โ ซ ๏บ ู โ ฌJโ ซ ๏บ โ ฌWindows 2003 Server . IP Address โ ซุง๏ปฅโ ฌ+ โ ซ ๏บต ุฉ ๏บ โ ฌ (Source & Destination โ ซ ุง ู โ ฌQR5 filter โ ซ ุฅ๏ปฅ ุกโ ฌY Tunnel v %Nโ ซ ๏บ ๏บ โ ฌe โ ซ ุฃ๏บฅ ู โ ฌ โ ซ ุง ู โ ฌJ%โ ซุงโ ฌ+โ ซ ๏บ โ ฌfilter D P J/1โ ซ ๏บ โ ฌg eโ ซ๏ปฅโ ฌk$ Tunnel โ ซ ุฅ๏ปฅ ุก ุง ู โ ฌWโ ซ ุฃ๏ปฅโ ฌ3โ ซ๏บกโ ฌ5 P . IP address ) โ ซุงโ ฌbโ ซ ู โ ฌQ g (Windows 2003 Server IPSec Stack) โ ซู ุง ู โ ฌI . (Protocol or Port)

0 / (ESP) โ ซ ุงู ุง ู โ ฌ./%โ ซ ุงโ ฌQ/ โ ซ ุขโ ฌ.. Tunnel โ ซ ู โ ฌAuthentication โ ซ ุง ู โ ฌ$+/ (AH) โ ซ ุงู ุง ู โ ฌ./%โ ซ ุงโ ฌ . Tunnel โ ซุง ู โ ฌ inbound Traffic โ ซ ) ู ุง๏บก ุฉ ู โ ฌ. โ ซ ๏ปฅโ ฌDโ ซ ู ุง๏บก ุฉ ุขโ ฌ. 2 Rules โ ซ ุฌ ุฅโ ฌ/ โ ซ ๏บ โ ฌeโ ซ๏ปฅโ ฌk$ . G โ ซ ๏บ โ ฌTunnel โ ซ ุกโ ฌ . ( Outbound Traffic โ ซ ู ุง๏บก ุฉ ู โ ฌ-

โ ข

โ ข

โ ข

โ ข โ ข

: IPSec for Tunnel Mode โ ซ (ู โ ฌconfigure 4 ) โ ซ๏บฅ? ุงุชโ ฌ . IPSec Console W %โ ซ ู ุงโ ฌ. ู 0 % WR โ ซ๏ปฅโ ฌkโ ซ ๏บ โ ฌG โ ซู โ ฌb โ ซู ุงโ ฌ+1โ ซ๏ปฅโ ฌ+ โ ซ ุงโ ฌj/0โ ซ ๏บ โ ฌQG . Partner โ ซ ุฉโ ฌ1 โ ซ ุงโ ฌPolicy โ ซ ุง 'ุฏู ุฌ ุง ู โ ฌaEn โ ซ ๏บ โ ฌQG . ( Edit Rule Properties) โ ซุงุฑโ ฌ+โ ซ ๏บกโ ฌPโ ซ ๏บ โ ฌe 3 $. IP Filter List โ ซ ุง 'ุฏู ุฌ ุฃู โ ฌaEn โ ซ ๏บ โ ฌQG : / โ ซุงุฑ ุงโ ฌ+ โ ซ ุงโ ฌPโ ซ ๏บ โ ฌe 3 $. (Tunnel Setting) f + โ ซู ุฅ ๏บ โ ฌ+โ ซ ๏บ ๏บฅโ ฌQG

โ ข โ ข โ ข โ ข

โ ซ ุตโ ฌ. โ ซ ุงโ ฌIP โ ซ ุง ู โ ฌ/โ ซ ๏บ โ ฌQG . (The tunnel endpoint is specified by this IP address) โ ซ ๏ปฅโ ฌ. โ ซ ุงโ ฌ$ . (Remote Endpoint) โ ซ๏บ ู โ ฌ . โ ซ ุงุชโ ฌE/ โ ซ| ุงโ ฌ0โ ซ ุฃ๏บกโ ฌQโ ซ๏บ โ ฌ. ok โ ซ ุฒุฑโ ฌaEnโ ซ ๏บ โ ฌQG

โ ข โ ข

G‫!ﻡ‬H ‫ا رس ا‬ Managing & Monitoring IPSec : ‫ ﻡ‬1‫ﻡ‬ D , ‫ا ا‬b‫ ه‬G‫ إدارة و ا‬0 ‫ آ‬Q ,/ % ‫ن‬m‫ وا‬. IPSec Configuration D ,‫م ﺏ‬+ ‫ آ ﻥ‬,‫ أن ﺕ‬Y % 90% ‫ن ا ـ‬I . D , ‫ ا‬D ‫ ﺡ‬10% 8‫ أآ‬f J/‫ ﺕ‬g‫ و‬. ‫ إ ﺡ‬J 1‫ن ﺏ‬+ ‫ ﺕ‬IPSec ‫وإدارة ا ـ‬. . (Filter List – Riles – Filter action) ‫ إﻥ ء‬/1 G ‫ا‬ ‫ ﺕ ن وه‬0 ‫ ن‬/ ‫و ه ك‬. ‫ﺕ‬+ ‫ أﺝ 'ة ا‬IPSec ‫ ا ـ‬G‫ ﺏ ا‬P J/1‫ه ك ة ق ﺕ‬ . (Monitor Event Log – IP Security Monitoring )

•

•

: IP Security Monitor ‫ ام ا ـ‬3U ‫ا‬ ‫ ا و‬. MMC ‫( إ ا ـ‬IP Security Monitor ) ‫ ا ـ‬$ S‫ إ‬.١ . Local Computer ‫ ر ا ـ‬W ‫ ا ه‬#D‫ و ا ا‬. / ‫ ا‬P‫ ا ﺏ‬3 .٢

: ‫ ا‬3 6‫ ﺝ ز أ‬# { .٣ . Add Computer C ‫ أوا و‬a 3 t # . IP Security Monitor ‫ ی‬% ‫• آ‬ ‫ ﺕ‬2 ‫ ر ﺝ ز آ‬6D Browse ‫ زر‬wkj 3 , #‫ و‬. Add Computer ‫ ر ﺡ ار‬W • ‫ ا و‬6‫دا‬ . ‫ ه‬W ^‫ ل ا و ا !ى آ ن أﺹ‬K‫ ﻥ‬- ‫ ى ا‬K ‫ ﺡ ا‬C ‫ ا‬# ‫ ی‬E ‫ ز ا‬E ‫ ا‬t‫• ی‬ . ,Ea ‫ ر ﻥ‬W‫]ء ا اد إ‬E ‫ ﺕ ی ا‬O‫ ی‬G ‫ ه ة ا ﺹ‬1 ‫ ل‬K‫ ﻥ‬- ‫ ا‬O‫ ی‬G - ‫ ی‬.٤

: Using Event Logging . MMC ‫( إ ا ـ‬Group Policy Object Editor ) ‫ ا ـ‬# 3 Local Computer Policy – Computer configuration – windows ‫ ر ا‬K ‫ ا‬2‫اﺕ‬ . setting – security setting – Local Policy – audit Policy ) . (Audit object access) I‫( ا‬Double Click) 3 ok ‫ زر‬wk ‫ﺙ‬.(Success –Failure) ‫ رات‬B ‫ ا‬k1 3 . 6H ‫ ﺕ‬2 ‫ وآ‬C ‫ ا آ‬7!‫ \ اﺕ ل ه‬T 3 . event Log ‫ ر ا ـ‬2 6 3

‫دس‬,X ‫ا رس ا‬ Troubleshooting IPSec : ‫ ﻡ‬1‫ﻡ‬ ‫ ا‬B ‫ ا‬- ‫ ق ی‬G ‫ ك ة‬C‫ وه‬. " -1 , ‫ ی دى‬,‫آ أﻥ‬T IPSec ‫ ر ا ـ‬2 6‫ی? " ا‬ . ً ‫ = ا‬I‫ ا‬# - ‫ إن ﺵ ء ا‬- ‫ و‬C C ‫ ا = ق‬7!‫ ه‬. ‫دی ه!ا ا‬T

: Identifying Common IPSec Issues . Secured Connection ‫^ل‬6 ‫ أن ﺕ‬- ‫ ی‬D ‫ ﺕ‬2 ‫ت ا ﺕ ﺝ زى آ‬D ‫ﺕ‬D‫ ا‬A Q‫أ‬ : ‫= ات ا‬B ‫ ع ا‬2‫ إﺕ‬- ‫ ی‬-1 ‫ ا‬7!‫ ه‬A k ‫و‬ 7 C ‫ !ا‬# Ping ‫ ا ـ‬lEC‫ ی‬# . ‫ آ^ه‬Ping ‫ و‬/ ‫ ﺙ‬. ‫ زی‬E ‫ ا‬IPSec ‫إی? ف ا ـ‬ . ( ‫ وی أﺝ ]ة‬C – -2‫ ) آ ^ت – آ وت ﺵ‬/ ‫ﺕ ل ا‬D‫ ا‬# T=6 ‫وﺝ د‬ ‫آ أن‬T (IP Security Monitor) ‫ ام ا ـ‬B ‫ & ا‬. (IPSec Policy agent ) ‫ ـ‬Restart . (Matching SAs) ‫ زان ی‬E ‫ا‬ ^- C ‫ ﺕ ﺕ‬IPSec Policy ‫آ أن ا ـ‬T (IPSec Policy Management Tool) ‫ ام ا ـ‬B ‫ا‬ . j ?#‫ وأﻥ ا‬. ‫ زی‬E ‫ا‬

: Verifying That the right policy is assigned Q ‫ ن‬-‫ ﺕ‬3 ‫ت‬D ‫ﺕ‬D‫ ن ا‬# . T=6 ‫ واﺡ ة‬%‫ – أو – آ ن ی‬C ‫ ﺕ ﺕ‬IPSec Policy %‫ ی‬-‫إذا ی‬ : ‫ ا = ق‬7!‫ و ه‬. T=6 ‫ أم‬N‫ ى إذا آ ﻥ‬C Policy ‫ ا ـ‬2 B‫ ق ﻥ‬G ‫ ك ة‬C‫ وه‬. . D ‫? أم‬2= Policy ‫ ك ه ا ـ‬2B ?‫ ی‬G ‫ وه‬. (ID 279) 3‫ ث ر‬/ (Event Log) ‫ ر ا ـ‬2 6‫• ا‬ ‫ ا ـ‬O‫ ی ه ﺕ ا ی‬/ (IP Security Monitor ) ‫ ا ـ‬# Main Mode ‫ ر ا ـ‬2 6‫• ا‬ . ‫ ت‬3 6{ ‫ ﺹ‬B ‫ ا‬B‫ ﻥ ت ا ری‬2 ‫ ر ا‬2 6‫ و ه ی ا‬. D ‫ أم‬Security . ?2= C ‫ أى‬# . 2 C ‫( ا‬Group Policy object) ‫ ه ة ا ـ‬1 •

: Checking for Policy Mismatches \ T‫ ﺕ‬- ‫ ی‬D ‫زال‬D - ‫و‬. (each End) ‫ ی‬C ‫? آ^ ا‬2= policies %‫إذا آ ن ی‬ . (Not Matches) a^ Q ‫ ت‬K ‫ أﻥ ا‬A2K ‫ ن ه!ا‬-‫? ی‬# . ‫اﺕ ل‬ % = ‫? ی‬# . ‫ ﺝ ًا‬fC ‫ ا‬P‫ ? اءة وﺹ‬3‫ و‬. (ID 547) 3‫ ث ر‬/ ‫ اﺝ ا‬3 / ‫ ا‬7!‫ ه‬#‫و‬ . -1 ‫ ا‬7!‫ ه‬/ ‫ ح‬ . K ‫ آ^ ا‬# B K ‫( ا‬Authentication – Security Methods ) ‫آ أن ا ـ‬T‫ﺕ‬ . (one setting in Common) 3I‫ ا‬

• • •

: ‫ا اﺝ‬ ( - ‫ ) ﺕ ﺝ ا ا ا‬70-291 N# ‫ و‬-‫ ی‬Sybex ‫• آ ب‬ ( 3‫ ی ? ة ا‬1 '‫ ) أآ‬N‫ ا{ﻥ ﻥ‬C ‫ت آ' ة و‬D ? ‫• ة‬