IP Addressing and Subnetting

ع إدارة ا�ـ � ��٢٠٠٣ �� و��وز ��IPSecح �� com.Arabhardwareه��

��6 �45 �23 ��1أ ه/ا ا��). ��اءة ا�&,+*� ()� روح ا��'&ر �% $#ذن ا

زا�� $@ �)?,ن <ل ن;�,ن / +9,�� ا�7�8

com.yahoo@amabdelsal_Ayman UAE – Abu Dhabi

Description Certificate MCP – MCSE – MCSA – MCSA Security Microsoft

APP – ASC – ASP HP SCTA – SCTS Symantec

CCA CITRIX ACE Photoshop Adobe

Security + Comptia ITIL IT Manager

ا��س

��IPSec آ�� ا�ـ : ا��رس اول

ا��عر�� ا�

� IPSecم#�"!ت ا�ـ : أو

• ��

• Authentication Header

• Encapsulation Security Payload

• Internet Key Exchange

: IPSecأ&!&�!ت ا�ـ : %!"�! ق ا�ـ •�IPSec

� ا�� ت �� ا��ت IPSecآ�� ا�ـ •�

• IPSec & ٢٠٠٣و� �وز $�%

IPSec و��+ن�ت ا�ـ أج'اء •

�IPSec,��ت ا�ـ •

• Security Filter

• Security Methods

• Security Filter Action

IPSecآ��0 ا%/.�ام ا�ـ •

• Security Policy

أن+اع ا��1%�ت •

�5ح�3ت •

��8ل ن3ى •

!'�!% :IPSec Authentication

• Kerberos

• Certificate

• Pre-Shared

٤ ٤ ٥ ٥ ٦ ٦ ٧ ٨ ٩ ٩ ٩ ٩

١٠ ١٠ ١١ ١١ ١٢ ١٢ ١٢ ١٣ ١٣

Installing IPSec: ا��رس ا�'!")


• ��

IPSecإدارة %��%�ت ا�ـ •

Local Computer �� ا�ـ IPSecآ��0 ت�D�E ا�ـ •

١٤ ١٤ ١٤

Configuring IPSec: ا��رس ا�'!�(


� �cIPSe,/.�- ا�ـ ا�,+��* : أو Custom IPSec MMC Snap-Inإن��ء •

ا��G �� ا��ز • ت�D�E ا�

ا��G �� ا�ـ • IPSecت��' ش�ش� ا�

&��٢٠٠٣ت��67 &�!&� أم��1 5!ص� ب�ی1�وز : %!"�! • $ ت�D�E ا��1%� ا�I �� ا��1

Clientت�D�E ا��1%� ا�I �� ا�ـ •

�5ح�3ت •

• �� Iا �Jاب اخ/��ر � D ا�

١٥ ١٥ ١٥ ١٦ ١٦ ١٦ ١٦

م@ح<!ت �=) ا��'!ل و�=) ا�>�!&!ت ام��1: ! %!�' �� اIج�'ة •$ تNث� %��%� ا��1

5ء ا�ـ •� �E� ح� IPSecا�1$ ب��/��P� Q ا�ـ ا��1

!Aإ"7!ء &�!&� أم��1 ج�ی�ة : راب: • ��

IPSecإ��اد %��%�ت ا�ـ •

Filter Listت�� ا�ـ •

• ت�� أ$,�ل ا�50ت

� ا�50ت�5ح�3ت �� إ��ا •R�G د

Active Directoryآ��0 إ�S$� ا��1%� ا��ة إ�� ا�ـ •

١٧ ١٧ ١٨ ١٨ ١٨ ١٨ ١٩ ٢٠ ٢١

Fا��رس ا��اب :Configuring IPSec In Tunnel Mode


• �� Tunnel Mode $� ا�ـ ConfigurationخJ+ات � D ا�ـ •

٢٢ ٢٢

Managing & Monitoring IPSec: رس ا�H!مG ا��


• �� IPSec Monitorا%/.�ام •

Event Loggingا%/.�ام •

٢٣ ٢٣ ٢٣

Troubleshooting IPSec: ا��رس ا�>!دس


• ��: • Identifying Common IPSec Issues • Verifying That the right policy is assigned • Checking for Policy Mismatches

٢٤ ٢٤ ٢٤ ٢٤

Managing IP Security

� :م�1م� ا��ف ��ذن ا� �� د � ا��ا� ا�� و� أ�'�� ت�% . ��IPSecف �� #� ه!ا ا� �

)ا آ , ا�2�6ر7 وأ6� – إدارت, و��ا�23, – ت1-�, – آ � ت/��, –#�� - � ��, ( ا��ت

ا��رس اCول

Understanding How IPSec Work � :م�1م� ا�ـ •�� :# � #: ��ت�� أ��A ، و�� ت=�ر��Security ا��?�م وا��=�ر ا�!ي ح�3��B�ا�

��Cوت . � �� D دآ�ن�Eی?� إی�G ,C�H 7!ه :=B�� ر��Iص�ا��ر#: و6��Iا ��K/رة ا��Eآ�� Gی?, �� ذ�% و��ت آP1 ا�/��Kت � �GیO اDن��نNن�ا�D-��و� ��D ه� ، #-�ن�Qو

ه!7 ا�=�ی?� 3�م ات��ل ا� وأ�SSL (Secure Socket Layer . NC(ـ #�� ت=�ی� ت?C, ا� •� 1� Encrypted ات�ت�? � SSL ـ #�� ا��Bام ا�.. ��C�# (40 Bit – 128 Bit) �وت�

� 1��?�Cل ا��: ت��تDات ا�C3 ن�ت��2ه� وح��ی��ا�2�'� SMTP) - Database communications(

.E-Mailا�ـ و��ا�3 ا��Eری�#: ا��اSSL over HTTP )( �3ـ� وت� ا��Bام �� ی��ف •N/2صT#��Kت HTTPS ( Secure Hyper Text Transfer Protocol) .. م�B�� Portوا

443 � D�� 80ص � ا��BـHTTP .. �1وان� �آ2 � واش�� 1-��Bا�, وه: ا� •D��1, �, و� ,C?ت ت��W �وه: .. TLS ( Transport Layer Security(ـ ث

ا�ـ� ,CK/� ,C?تSSL .. �?ی�G :# ن� ��Bی ��C-أداءو� �وا�=�ی?��ن ت/��ج�ن ��1دات ..ا�� . . I�� Web-based Certificatesح�ى أو.. Certificates ا�D-��ون�

• ,C?ت ت��Wأ�6ىو �وه� SMB وه: .ش2-, ��, آ�Dن��نN ن ��K و�\ ��ا�21-� دا6وه: .. Hashـ ا�إ�#� ی�� ا�=��و.. SMB ( Server Message Block (ا�6��ر �ـ

� , 6^�� ا��B^ص ر�[ �� حAK ح��Kت ری�� و. ا�� Gی?� ی��'�Iا,�� ( MD4 , MD5 , SHA-1 ) .ه!ا ا� �ت1 �ن/�#_ �� ص/� و�!�%�� وإ�#�, Hashـوی�

� ا�K�#� واIج�[ة #: �� packetsه: ا�ـ SMB وDح_ أن ا�ـ ..... � ��ا�� إ�: ی�� إر ��ت أث�Cء ��وره� #:و��/��ی� � �Gی?� ��3 ا�.. وQ�Sharing(7(ا�� ت ا��1رآ� #:

�^ك Iا) Man In The Middle MITM( . � ت�� ا��1-��- ��Wت •a��#: Application Layerـا� ا�-�2ى �-�ن ج�� ه!7 ا�� . Iج�,�� CN إD D ت�K=� ت1 � و وa�W �� /�د7 ج�ا أن أي .. OSI Modelـا�� D آ�ن %�!�

CC-�ی?� ت�G ا��-�ر� ت1 � آ� � Packet ر��ت . IP Securityـ #�� ا��-�ر ت?C, ا�. ج��ز أي� Networkـ ا�أو .. DOD Modelا�ـ #: IP Layer ت?C, ت�� ا�ـ... ه� IPSecا�ـ •

Layer ـ#: ا�OSI Model .. ر��ش:ء ی � ا�21-�� ا��Eز وی��, �� C ان, ی?�م ��1 � آه� IPSec #��ـ ... ��21-�6^�� ی��ر آ� ش:ء ه: ا��E ا��: � Network Layerـ ا�أن�� و..

IP Packetـش:ء ی�� K� �� ^6�ى ا� وا��1 � �-�وا��/�ت?C, ت�#� ا��ث�3,

Fن,ت: أو IP Sec ا�ـ م5 � :م�1م

0/�� أ%�%�/�� ه � ا�ـ IPSecا�ـ •�Vو W�� ) Yا�/��0–ا�/+ث� . ( �� ا%/.�ا�� ,� أو � 0[�� . و��0 � � � ت�/+ى �� د �� ا�ـ �Vو Dوآ ) –) a�S ا�/� تP�J/1 أن ت�+م بـ ( ا�.��رات –ا�, �ص

Q�3 ا�ـ ) تSecurity ا�� .

� ��وت�آ�Dن رaK�ن ه� IPSecـ �- �� .و�\ ��وت�آ�ل آ�� یT=B ا�c�2 ه� �Gی?, IPsecال • .(AH – ESP)ا�ـ

: Authentication Header: AH : وFأ

� وا�2�ن�ت #: ت�3� AHـی�B�Kم ا� .١a��، حe ی/�#_ Encryption وD ی�� ت1 �ه� Sign ا�� : ی�: ��B�Kم #?� ��

ه!ا ا��B�Kم ه: �C, و�NK اي ان ا�2�ن�ت ا��,: Data authenticity ��ث�3� ا�2�ن�ت •��, �� ا�21-,�� . [ور7 او ��

� ی�� ت��ی�� ا�=�یData Integrity : O ص/� ا�2�ن�ت •� ,��اث�Cء (اي ان ا�2�ن�ت ا��^ك ��وره�Dا ��) .

ا��3��B�ن حe ی?��ن ��3�K وه!7 ا�=�ی?, ا��: ��Anti-Replay : ��B ��م ا��دة اDر��ل •��K�#� وه: �1 �7 و��2G ی % ار�� #: وN3 ا�6ا��2��ورد وه: �1 �7 وی?��ن ��دة

ی?�م ح��C�� D ه!IPSec 7#�ل ا�K�#� ا��1 � وی�6� ا��زر �� ا��س ان, شfB ا�6،، .ا��, � ا�/�وث

ح��ی� � ا��Bاع IPSecوی�#� ای�j ال : Anti-Spoofing protection ح��ی, � ا��Bاع • ��B�K�ا� �23 �� ، �'^ ی�- ا ��B�K�ا� �k� l�Kی D ,ن ی/�د ��ی� ا�21-, ان

�� د6�ل ا�K�x ،، �#.�١٩٢o١٦٨o١D ��C یl�K �/��: ا��ی, subnet 192.168.0.Xال وای�j ی�-C% .(ی��C ذ�% �6IPSecص�, ، �- ال �B�K��IP Addressم ان یk� ال #�= .�� ذ�% � �6رج ا�21-, ا�� دا��6 ا�?�س

Packet ه!ا ه� ا�1-� ا��م �/[�� ا�2�ن�ت.. � Digitally signed�Packet ,�3 آ� ا�/[�,ی-�ن .٢ . AH ��وت�آ�ل ا��: ت�� #:

: Hurity Payload Encapsulating Sec: ESP,ن�,، و� ا��2ی�: اذا ان Encryption and Signing ی�#� ه!ا ا��2وت�آ�ل ا��1 � وا��3� ��2�ن�ت �� .١

،، او ��C ار��ل Secret او Confidential ی�B�Kم ه!ا ا��2وت�آ�ل #: آ�ن ا��ت ��ی,Oی�G � Public Network ا��ت �'� ، Nن��نDا

:ای� ا��,ا��[ ESPی�#� ال .٢• Source authentication .. :ل ال وه�'� :# �C/� ، حe آ�� و� �Spoofing��ا3� ا��

�(ت[وی� ه�ی�, ، IPSecال ان, D ی�- Dي شfB ی�B�Kم� . (ه�ی� ا�� حe2 ی�#� ا��1 � ��2�ن�ت �/��ی�� ا��ی� او ا��k� او.. : Data Encryption ا��1 � ��2�ن�ت •

. ا�?�اء7• Anti-Replay .. ال :# ,/��AH . • Anti-Spoofing Protection .. ال :# ,/�� AH. . ESP ��وت�آ�ل ا��: ت�� #: Packet ه!ا ه� ا�1-� ا��م �/[�� ا�2�ن�ت .٣

Signature

ESP Auth

ESP

Trailer

Application Data

ESP

Header IP

Encryption

,I�,HInternet Key Exchange : KE I : �, ��!ا ا��2وت�آ�ل .١��Dا � W�ن ا�� Keys و��, ت�زی� و��1رآ� ا�� تlا�- �ه: �

. ��B�K�IPSec: ال

�Gی?�تTآ�آ�� ان, ی�� IPSec اي ا�C?�ش #: ن�tم ال negotiationـ��وت�آ�ل ا� #�� .٢ �اجA ا��Bا�� ون�� وا�� تl ا� Authentication ا��ث�3,

وه� ��2ر7 � زوج � ا�� تl ذات�� ی�� 1�اa� �=�ق ح��K٣DES ,ی�B�Kم ا�� 1� IPSecـا� .٣اي Symmetric Encryption ��?�7 وی�� ا�=�ء��E�� w?# 7 ا�'�ن, وی��C ت�زی�, وه� � ن�ع

. Private Keyا��1 � ا��ازي وی�B�Kم ت?C� ال

�IPSEC,��,ت ا�ـ أ: H,ن�, : �KIPSecق ا�ـ

ی?�م ��6ت حLAN ..e ا��/�� ا�21-�ی�B�Kم ه!ا ا��tCم ��دة دا6� ...Transport Mode : وFأO��=ن�ت ا��: ت��2�� ا��1 ��Kـ #: ا�ا��2 وا�IPSec أى ا�21-� ج��زی #: أى�

�� الإذا#�'^ . Endpoint-to-Endpoint Encryptionی�#�� w2j� N�3 IPSec � 1ت �� آ� ش:ء �'�� Telnetحe ان ال . Telnetـ وه� ��رت ا�٢٣ Port ا��: ت�� ا�/�آ�ج�� ت�

IPSecـ #�ن ا� . Portـ #�ذا ت�N �/�دث, � ا�K�#� وا��B�Kم �� ه!ا ا� Plain Text ه� دون ت1 � ی?�م� ,��... ا�K�Nt/� �# �6وج�� ج��ز ا��B�Kم ا�� /t, وص�� ا��1 � آ� ا�2�ن�ت ا��

:#: ا�/�Dت ا��, Transport Mode ی�� ت=2O ه!ا ا��tCمو اDج�[7 #: دا6� او ن \ ا�21-, ا��ا�6, ا��Bص, •� � Private LAN ا��/�دث, ت�• ��C� �=?ی Dو ج��زی� ��ن�ري ی ح�Firewall wa ا��/�دث, ت�� NAT : Network

Address Translation (ال #: ا�IPs ,-21ج�� Cوی ال � ا��2ال Firewallن�tم ی�- ذ�% ه� انPublic IP �C وا��2ا�� #: �C�ان Packet ا��ا�6, � ح[�� ا�2�ن�ت� � �Kا�6 ،، ون ن/��ج ��ى ا�� C�ان� IP واح� One Public IP �?ان, ی �jوای ، م ��6 �ء ��Cوی اDج�[7 � . (ا��6Dاق ا��Bرج: ش2-� اDن��نN ��/��ی, �

IPSecی�� ا��Bام ه!ا ا��tCم ��=2O ال H… Tunnel Mode,ن�,� ن?=� ت-�ن ��د7 � راوت�ی � 3=� اDن��ن�G :# Nی?�� ا�� ا اذا ی�� ا��Bام ه!ا ا��tCم ��=�ف ا�'�ن: ، ن?=� ��ت ج�kا#� اي

� WAN : Wide Area Network اDت��Dت ا��: ت/�ث � ا�21-�ت ا��7��2 ج�kا#� �'OG�C� ا�2�ن�ت #?w اث�Cء ��وره� ��T�� ,ا�/�ج �C� w?# م�tCم ه!ا ا��B�Kاذا ی ^'�# ، Nن��نDآ� ,Cا� �Q

� �� وت�آ�لا��: ی�� ار اراد #�� 1آ, ان ی?�م ��1 � ج�� ا�2�ن�ت�C� ��# �� FTP : File Transfere Protocol � . ��Tunneling Mode ا��س ال IPSecا��اد ال #�

M�*� .آ� IPSec �() ت,�O;5,ت م@ ا�P8ا�:

آ�� ن��ف ان, �^ ا6! .١�I�2ر ،ا��Dا ت��ف أن وا�2�ن�ت ا��: ت�� #�� ی�- ا�21-�#�ن �� ا�21-��'� ��اc�� ، Passive �23 ا��E��ت ت-�ن Q� #��,ا��B � ا��E��ت أن�اع��ی� �

Network Monitoring ا� ��ل �ه �� Cو� ، Active :Cإن�� ی� أو ت�k� ا�2�ن�ت أن ی�- � ا��E��ت ��أن�اعو#: ه!ا ا��رس ��ف ن��Kض ��c . ا�21-�ت�Kق #: �Gی?�� 2 آ�ا�

�GیO الا��3ی� آ � أوح�وث�� C IPSecا�21-�ت، وآ � �� C� IPSec . • Fن,ت: أو,�Pم ا�R1,ط حUا� Eavesdropping orsniffing or snooping ... �حe ی�

وا��?�ط �� C� Plain text�� ا��اl دون ت1 �ا�21-�ت�� !�% ��ا�23 ح[م ا�2�ن�ت ا��:��Eوی�� ، ��C� ال ن�ی�IPSec ی�G � N=?ا�� ه� ح�� C� ،ن�ت�ح[�� ا�2 �ت1 O��]/ن, ا��#

� �ا�=�ف ه�ا��1 � ا��D ،�� e2ن ا�=�ف ا��ح� ا�!ي ی��% � ��ح #% أوی�K=� �3اءت�� ا� ��2?�K�ا� . {��#��إ�� . ا�=�ف ا��

��3 ح[م ا�2 حData modification ...e +4��9 ا��P,ن,ت: H,ن�, • %�!� � ث� ا�21-��ن�ت � ی�2�،إ�� إر�� وإ��دةت��ی�� ?�K�م ال ا��وی?IPSec ام ا��ش�B�� C�� Hash ذ�% � �GیO ا

( . �2� #�ن ا��Eز إ�� ا�/[��وو�, �� ا�2�ن�ت ث� ت1 �ه� �� ، و��C ت�?�K�ا�=�ف ا� f/ ی Checksum �2إذا ا�/[��ت ,�?��=� N�أم ت،D ا��=��?�#�ذا N�ص�: �� ا��ش تIا ح[�� ا�2�ن�ت �3 ت� تk�ه� أنا��ش ن��ف ��Cه� تk�إذا ا�/[�� ت��ل، �- أن ت2 ا��1 �

Oا�=�ی ��.

• ,I�,H : ل,*Uان��V38ا� Identity spoofing ...ن�ت�ام ح[م ا�2�B�� ا�/� ��-21e ی�� ا��G�?وا�� ، ه�ی�وت��ی�� 2��، وی��C ذ�% � �6اعأى �[ور7 ��2� ��ی� ا��?�K�ا�

Kerberos ��وت�آ�ل ا�-��س ( :وه: IPSec ا��: ی��B�K الا�'^ث��GیO ا�=�ق Protocol - ا��1دات�ون��-�Dا Digital Certificates - ��1رآ� � ��ح ��

Preshared key . (أ�� ص/� ا�=�ف ��Tآ�ا ا�2�ن�ت 23� وإر��ل ا��/�دث� حD e ت�� ?�ا��!آ�رة ا�'�ن: � �GیO اح�ى ا�=�ق .

حe ت�� ه!7 ا��E�, �� ... ان5,ره,أور�W ا��3م% DoS -Denial of Service :را9$, •��6, � ��6ت � وا��K �ی ��C ، �'^ آ�ش�kل ا�K�#� #: ا�21-�ت�=��B�K��-21ا�

� #��د ��,�� Flood k1ی �� B�K�� ,��E��Dر و��م ا��Dد �� ه!7 ا�� ,� . �وی�� . Ports و� 3�ا�� C#! ا�� ح,أوذ�% � �GیO ا�-�ن, IPSec �C� �� O�Qال

• ,Xخ,م MITM -Man In The Middle ...اش�� ی-�ن أنا��E��ت #: ا�21-�ت، وه: � � ,��3 ا�2�ن�ت ا�� أو�Gف �6D وا�-�ن� ا�� ت��ی�� ه�G %��Cف ث��e ی��

� IPSecال ا�� م ای�� EنA ا�6D، وی�� O?/ق ا��G Oی�G � �C� ��?�� Authentication methods ا��ث�3, وا��: ذآ�ن�ه�

� م&U,ح: �,د�, •�� &8Uا� Key interception ...م�B�K��3 ا�� ح ا�� 1 حe ی�� DIPSec دور �� ا��ف ��, � �GیO ��ا�| آ�K ا��1 � اذا �� ی- ��?�7 ا��=��,، ه�Cأو

�� ی?�� Dن, ی?�م ��k� ا�� تl ا��WinXP ,��B�K، و�- ا��ور �aدوري ودا �-1� � 1��3,أو� 6=�رة آ1 , .

1� ا�1�P?U,ت: �,9$, •PK �() ت,�O;ا� Application Layer Attacks ... 7!ه �حe ت�� وای�j ت�� ا��Tث� �� ا��2ا�| ا�21-� ا��E��ت �� ا��ث� �� ا��tCم ا��B�Kم #: اج�[ة

:# ,��B�K�ا�21-�ا�� ,�'�Dا �1 � �� ث�kات #: اDنt�, ، و��Cت وا��ی�ان ا��: ت�� أوا� �و ح�� 2Qءأوا��2ا�| ��B�K�ال. ا� � IP �� ا�/��ی, � ذ�% �-�ن, ی�� IPSec �?2Gی��Layer �� ا�?�ط اي ح[�� ن�ت D ت�=��O وا��1وط ا��, �!�% ، �!ا #�� ا� ^ت� #��

�� ,�t^ن� ��و��م ای ��G�?� . ا��2ا�|أوا� ��م #�ل اذا .٢-1�IPSec 1ا�� --�نا�, ��B�� ا��E��ت � �GیO اt�� ا��?�7 ، �ی/�: �

) ای� آ�ن(�� ا��w حe ی�#� ا��1 � ا�/��ی� ��2�ن�ت وا��ت ای� آ�نN اث�Cء ان�?��Gی?� ا��1 � ا��Hashing . ... :# ,��B�K وا��ش �G EncryptionیO ��: ا��1 �

و� �تl حAlgorithms ، e ��2ر7 � د�| ��ة IPSecال• Algorithm ا� ا�/��K, ا��: ت�� #�� ا�2�ن�ت �-: ت1 � ��2ر7 �

• Key � ا��/-� #: ا�2�ن�ت أو ح!ف أو ت��ی� أو� 6^�, �3اء7 ��ي ی��) آ�د(وه� ��2ر7 � ر3 .ا�'�ن: ا�!ي �3م �� ا��1 � ا��1 �7 ��1ط �=��?�, ��[وج

Server2003Windows & IPSec : ١. b�0 تMicrosoft IPSec آ� $� ا�� cخ Windows 2003و�� .. ��Cisco ه+ ��/+ب و�

Server ا�ـ D,دوات ا�/� ت�Iا � .(Group Policy) أآ8 نIPSec D8� �,0 ��/+ى �� ا�,��

: $�� آ��/�� IPSec �$ Windows 2003 serverأ�� ن�� D ا�ـ .٢

اد ا%/.�ا�QGIPSec ب/�� إ��ادات ا�ـ • .�� $� ش��/e ا�

• � Windows 2000 – Windows XP – Windows 2003 with)ت�+م آD اIج�'ة ا�/� ت, D بNن3

)service . f�Jت�+م ب)AgentIPSec Policy (.

D ا�ـ •,� �� System ا�ـ �� Client . )ا�ـ ��+مPolicy Agentت[�ل ب��ـ ( بـ (gاActive

Directory Server - D �Download ـ�� IPSec Policy - إ�� ا�ـ i� )IPSec Services ت

وا�/� �Q ت�� +ج+دة IPSec ب�Sk$� ا�,�� ا� j�5 ا�.�ص� ب��ـ Windows 2003 serverو�Gم .٣ �$Windows 2000 Server . �$�Skت�+م ب ��ب�1 j�5 Extra Layer of)وب,l هib ا�

Security to IPSec . ( ,ا�� ق �� E� أو �1�� ا��G –إدارة ( l اIخ� ( �$ ��./1 ا� :�Workspace . D8ا�ـ

• IP Security Monitor ... �$ ه� أداة ج��ةWindows 2003 server . داةIا ibه Q/� أن �� Local Computer 8� D �� ا�ـ IPSec ��ـ MonitorوتP�J/1 اmن � MMC . Dإ�S$/�� إ�� ا�ـ

�Y هbا ا�ـ . Remote Computersا�ـ � �� ه�ة Monitorو�� (Details of all IPSec

Policies – Generic and Specific Filters – Statistics – Security association –

customize the display – Search the specific filters by IP Address) .

• Stronger Cryptographic master Key (Diffie Hellman) ... ا�ـ � n/�IPSec Qن د�mا ا�, �� ا� ,��ة �/��دل ا� �0ت�j ت'�� وه��Stronger group 2048 – Bit Diffie – Hellman .. ibـ

j�0ت� � ص,+ب� أ��ن ا��.

• Command-line management with netsh ... D IPSec ��ـ ConfigureتP�J/1 اmن � Ipsecopal.exe �$ Windows 2000ا�bى �1/��ل ا�ـ . Update Netsh Command/.�ام ا�ـ ب�%

P ا�ـ. $ Netsh D � P�J/1ت (Script – Configure) ـ�� Rت�� IPSec .

• Persistent Policies ... نmا P�J/1أن ت ��ء ت " � Rدا �%��% "(Persistent Policies) ��+ت�� ت��J .(Local – Active Directory) %+اء �� ا�ـ� � g �/ا��1%�ت ا� �� . ib�$

� ه� Rا��1%�ت ا��ا ) ��,$ � Rدا– D � �� g Override �� . ( a�$ Y�Jأن ت �� وهib ا��1%�ت � .(Netsh Command)ب�%/.�ام ا�ـ

• Removal of default traffic exemptions ... Yا�ـ $� ا��1ب e�$ – Broadcast)آ�ن آD ا�/

Multicast – IKE – Kerberos – RSVP ( �Sاأ�� اmن $��+ح�� ) . (�Default,0� ب��D ا$/� ( IPSec)�� ء ات[�ل Iن�J� W+ب (IKE)ا� ,0� ه+ �p .

• IPSec functionality over NAT ... ��'حIPSec ESP P�J/1ور خ5ل ت .. (NAT)اmن ا�j 1 �(UDP Traffic ) P� i ب+ج+دا�bى �1 . (UDP-ESP) Encapsulationا�.�ص�� ا�

• IPSec Support for resultant set of policy (RSOP) ... ا�ـRSOP �$ ه� خ�ص�� ج��ة Windows 2003 . ه�ة�� وآ�� تY�J . خ5ل ا��و�� آ�� آ�نq ت, D ا��1%�ت ا��1ب�� وه� ت1 j ب

ا�bى . RSOP Consoleب/'و��ك ب�k/�اد ��ـ IPSecح�r ��+م ا�ـ .(User 0 Computer)�� ا�ـ ��ه�ة ت�0ص�D إ��ادات ا�ـ � W��./1تIPSec Policy ��J . ا�

: IPSecأR6اء ا�ـ

�٣ �IPSecـإ ی�-�ن �Tت � W�� م�ت? ,Kaن�ت ر�إل �-IPSec c�2ا� ��j�� ج[اءI؟ وه!7 ا : ی�- ش�ح�� #� اIج[اء ا�� ا�'^ث�

١. Fأو : IPSec policy agent module... ه��Cو�� "�� ن�tم ��" IPSec . ن ه!ا أ� #�ر ��أ �� ا��Eزأج�[ة �� ا�� ی��B�K�م ا��لوت?��I�� ا��:

��ی?�م ��?�2ل •�Kم #:ا��B�K�ا� ��وان �� ت�C� Active Directory AD �Eءا �� ا�Kأو ا� �� ADـت�E ا�� e/2�� م�ن�� ت?�# ��Kزا��Eي �� ا��KEا��ی � . دا6

��اذا ت� ای�Eد •�Kا�:# AD � �GیO ��6: ا��ش وا��1 � #�ن, ی�� ن?�� ا�� ا��Eز �1-� ا�Hash (Integrity) and Encryption .

• �� ت إر��لی��Kا�� /�كا� IPSec Driver ��6و ISAKMP/Oakley ي��KEوا��ی .��C ا��B�Kم

,tح^� ::# �3� ��ی?�ف IPSecا�21-, ا��: ت-�ن �� ^3, ��ل ��C ت�اج, ��1آ�� IPSecـ ا� .ا�A2K ��ف

ت�� ه!7 ا��B, �� آ� H: … ISAKMP/OAKLEY key management service,ن�, .٢ �� Oی�G � �k1اج��ز وت��K� IPSec Policy . ..� ,��Bم ه!7 ا��ـ ت? :

• ,Cرا�=, ا� ��ت Security Association SA � ,Cت ا�D��2 ات�=�� . ا��Eزی ا�!ی�jت� ه!7 ا��وا�w اC�D, ا��Dادات�Dرات ا�و6 lا��ادات ا�� ت �'� .ا�^ز�, ��Dاد ات��ل ا�

• � ا��ث�3,ا��B, �� ت #: ا��2ای, ت�� O?/ا�� Oی�G � ا��Eزی� ,Cة ا��C3 O?/ Authentication ل��تDل ا�ت ح��وت�2دل ��

• ,C�Dان�1ء ا��ا�=, ا � وت��% . IPSec Driver وا��: ت��ر ��/�ك SA �� ذ�% ی�ISAKMP/Oakley lا�� ت � .ا��B�K, ت�?�a� ا�?�ر7 �� ت�2ی

• Oakley آ�ت�� ، وا�!ي ی�B�Kم Key determination protocol �ل ت?�ی� ا�� ح��2ر7 �,C?ت Diffie-Helman Key Exchenge Algorithm �� ت�2دل � �تl ا��1 � وا��: ت��

وا��: ت�آ� �� ان, اذا ت� ، Perfect Forward Secrecy PFS ی�� K� . Oakleyی, ت��,ا�� ا�2�ن�ت ا��/�, � �GیO � ��ح � �د م ��K��ح ��ص�ل، ی?�) اي آ1 ,(��#� � ��ح ا��1 �

w?# .ام ا�� ت�B��ا�!ي ی�� اDت��ل �/�Kب وان��ج � �تl ج�ی�7 وD ی?�م ا��ا lحe ان, D ی��ود ا .ا�� ح اDول ا��-1�ف �� ا�� تl ا��Eی�7 ��Bام �Gی?� ت��

٣. ,I�,H: ا��*�ك IPSec Driver ...ه!ا ا��/�كی� �� ( ipsec.sys) ا�23 اج�[ة ا��^ء�� :ی?�م �ـ حIPSec datagrams . e ا�2�ن�ت

#�ذا N?��G . ان ا� ^ت� �=2?, وان ا��ا#% ا�C, آ�� ه� ا��اد ه!7 ا�2�ن�ت �� ا� ^ت� ��Tآ� � �?�رن� •��a�3 ن�ت�ا�- ه!7 ا�2 ��3�ه� او ت�ت1 � SA ��ون� � �GیO ا��Bام ا��ا�=, اC�D,ا� ^ت�، #�ن, ی�

.وا�� ح ا��1ك، ث� ی�� ار�� ا�21-,• wروا� A�G �� ا��/�ك �� SAs ا�C, ج�ی� ای�j ی��k1ت �وی?�م ��/�ی'�� و�/�ه� ��C ا�/�ج,، وی�

Oی�G � ه!ا ا��/�ك ��Kا� IPSec Policy Agent .

ocess The IPSec Negotiation Pr : ISAKMP & IKE وت+آ+ل ��+م�Y ب�� أج�'ة ا�� +ت ب��kادات �p � وت��دل ��0ت�j أ� � ه+ ب� ب/+$�

ا$+�% � وف بـ (Security Association) ب�� أن ا�ـ IPSec$� ا�ـ و.[��p g � ب�� اIج�'ة تب, وا�(SA) ت��+�, Policy) ��/+ى �� (SA) $��ـ .��Nن �//[D ب ب�� اIج�'ة ا� �J+ب� �+$ آD ا�

agreement) ت�� ا�ـ �$ Q��/ت (Algorithm – Key Length) ى %�1/.�مbإ�� ت�� . ا� �$�Suا ب�bه " : وه �ك خJ+ت�ن $� هib ا�, �� .��0ت�j ا��Iن ا�� ا�/� %/1/.�م �/��دل ا� ,�+��ت

١. Main Mode ... ان ا�ـ إ�� ت1 � v�%N/� (Security agreement) (ISAKMP)�1/.�م ا�� +ت(ISAKMP SA) . ا��زان ��ط ��f أن �/Q اgت�0ق �� ا� . و�� تP�J/1 تv�%N هbا اgت[�ل ب�

:ا�/��

(DES – 40 Bit – Triple DES – Non) هD ه� . ت�+ن �1/.�� (Encryption algorithm)أى •

.(MD5 – SHA-1)هD ه� . (Message Integrity)ا�ـ �1/.�م ��/Nآ� �� (algorithm)أى •

Kerberos – Public Key – Oakley)هD ب�%/.�ام . Connectionآ�� %�/Q ا�/Nآ� �� +ث+��G ا�ـ •

Protocol – Shared Secret Key ).

٢. Quick Mode ... انح�� ا��8ن�� ا�/�0وض ب�� ا�� +ت ب/��JE و$�� ت�+م ا� �0و�Sت .. وه� ا� :ا��+انf ا�/��

. %�1/.�م ��bا اgت[�ل ( Authentication Header AH Protocol)أى •

. %�1/.�م ��bا اgت[�ل (Encapsulating Security Protocol (ESP))أى •

.(ESP Protocol) %�1/.�م ��ـ (Encryption algorithm)أى •

.(AH Protocol) %�1/.�م ��ـ ( Authentication Protocol)أى •

Security Filters:

��/+ى �� . $� � �و�� ا��ت ا�.�ص� Security Protocol �,�دل ا�ـ Security Filterا�ـ /�0��$ ) D��/1 1 +ح ب�� [�ر وا� D��/1 – ا��وت+آ+ل ا� 1/.�م –� �و�� ا� [�ر وا� $,�� %��D ) . ا��+رت�ت ا�

$ �� د �� ن+ع ا�ـا� �8ل � � e أن ت�+م ب/,/� )IPSec Negotiation( � � �� +م ج��ز �� ا��و�� ا�50ت . Microsoft.comا�.�ص بe ب�gت[�ل ب��ز �� دو�� :وه �ك ن+��

• Inbound Filter ... ا�ـ f�J� �� Y�J�Remote Machine ت[�لgا .

• Outbound Filter ... إر%�ل ا�ـ D�G Y�J�Traffic إ�� ا�ـ Remote Machine .

Security Methods:

• DآIPSec Connection 1/.�م� Security Method .. ـ��$Security Method �ت[�ل " هgا .(Encryption algorithm – Negotiated Key Length – key lifetime)ا�bى �1/.�م �/��

� ا�ـ � � e أن ت1/.�م •� � .(High – Medium)وه � . ا� ��دة Security Methodواح� �� اث �

Security Filter Action:

� �� ت=��O ا��ا#% �� ا� �� ، " ی?�� .١� �وا�!ي تFilter Action ,��B�K یK�� وه� ��ذا �2B��Kا� Policy �� أن#�'^ ی�-C% .. ا��ا#% حAK ا� �� ت� �=��?�إذا��ذا �Eت

�� ا�/�آ� ت��E, ی�� ت1 � وأیFTP ،�j ��وت�آ�ل �� رتا�/�آ�ی?�م ��IPSec �Cال 6^ل وأیHTTP . �j ��رت ��وت�آ�ل� �=�Kت Filter Action أى��/�ی� ��tوا��ش أن �ا��1

��یEncryption and Hashing Algorithms �� AE ت��B�K أنا��: ت�ی� �Kم أن ا��B�Kت �G3�ث�ا�� O?/ی?� ا�� Authentication Method : eم ال ح�B�KیIPSec ق�G ث^ث

� O?/��3�ث�ا�� . Kerberos – Digital certificates – Preshared Key وه

��Bام ا�ـ .٢��IP Security Policy Management Snap-In . أن �=�Kاع ت�أن �K�6 م�B�Kت ا�ـ � � ��B�Security Filter Actions ��# � :وه!7 ا� ^ت� ا��K�B ه� . #� آ

• Permit action ... ح��Kد �, ا��?� ��2 ا�ـ . وهBی �وهIPSec ذ أى�Bم ات�� Action. • Block action ... ل ��ـ��تDا c#ر � Remote Systemو#, ی�• Tow action accept unsecured communication. • Enable session PFS • Security setting action ... ی��/�� %� l�Kی �ا�ـ وهCustomer Setting �-�

Computer – remote network �� C� �-1� . : IPSecـ ا�ا��3Uام ��آ�&

��ت IPSecی�B�Kم ال�K�� ی��ف �� Oی�G � IPSec Policies �وا��: ت=O2 #: ا�21-, ، حe ان آ ا�?�ا�� ا��: � ��Eوال ت�ی�� ،,�� C� �ی�B�Kم ه!7 ا��tCی, ، ا��D ا�!ي یIPSec AEت=2?�� ت1-

� ج��ز آ�2�ت� ، �!�% یAE ��% تE�� آ� اDن�7�2 �,-� �� اآ'� �� =�Kن D �Cان �ا�� ه�ا�?D 7]ج�Dى ا��K� �� O2=واح�7 ت ,�� اد ،،،�� K�ى اD# وا�D�ر ا��: ت�AQ #: ت=2?�� #:

�C�� AEی ، ,��Kا� O2=ا�� وت�ا�? � :��ا��ة ��ی�: 23� ا�?�م ��/�ی� ) ��C�Cو�� #: درس �3دم(��Bام ا� ^ت� حe ان% ت?�م... : Traffic Type نع ا�*�آ% •

O2=% ا�: ت�ی� تا��ا# ��ا�23 ن�� ه!7 ا�?�ا�� ، 3�'^ ت�K=� ان ت=O2 #�� ی�� .#?w دون ا�FTP :3�2 و HTTP وت�آ�ل��

��IPSec ذ�% یAE ان ن/�د �� ... : Trafficا�*�آ% $�9 ا�U*1] م@ نع IPSecم,ذا ��&49 ال •O��=ت �� , Filter Action ا��ا#% �� ا� �� ، وه� ��یK�� ذا �K�2 ا�B�� ,��B�Kوا�!ي ت

Policy % حا��ا# �?��=� �� اذا ت� �� ال��ذا �Eان ت %C-�ا� ��، #�'^ ی AKIPSec م�ی? �C�� وت�آ�ل ، وای�j ت��E, ی�� ت1 � ا�/�آ, �� رت FTP ا�/�آ, �� رت ��وت�آ�ل

HTTP . 6^ل � �=�Kت �jوای Filter Action � 1ا�� tوا��ش ا��: ت�ی� ان ��/�ی� اي ان��B�Kت Encryption and Hashing Algorithms ,��Kا� �� AEم ی�B�Kان ت.

• %��H1� ا�U*1] م@ ا��K Authentication Method : ... م ال�B�Kی eحIPSec ث^ث� ا��ث�3, وه� O?/�� ق�G :

Kerberos Protocol ا�-��س ��وت�آ�ل- Digital Certificates ا��1دات ا�D-��ون, -- Preshared key ��1رآ� � ��ح ��

� O?/�� ت�K=� ت=2�G Oی?�� .ا��ث�3, آ

و�3 ش�ح�C ه!ا #� ...) Tunnel or Transport mode وه�, IPSecا��3Uام اح�ى ن\,مM ال • � ه!ا ا� �� Pی�� .ج[ء

• ^U�� MU5% ا�P8ل او ا�,V+Fع ا� ()�;, ن�,�Xا� [�P?+What connection type the rule applies to: ... eأنح ��Kا� ، او ان LAN ا��/�� ا�21-� ن=�ق#: IPSec ت/�د الأن ی�-

�� WAN �� ی��ف بأو Remote accessا��ص�ل � �� أ��سی��CثDاو ا ،.

Security Policy : � الk�Kم ون�B�Kان ن �CC-�ی Pآ ، ��Eا� � ؟ IPSecی=�أ ��ال �� ذه�� .ا�E�اب

��ت� IPSecی�B�Kم ال�K�� ی��ف �� Oی�G IPSec Policies :وا�� ت=O2 #: ا�21-, ، حe ان آ،,�� C� � ا�?�ا�� ا��: ت�ی� ت=2?�� ت1-� ��E� والIPSec AEا�!ي ی ��Dی, ، ا�tCم ه!7 ا��B�Kی

�� =�Kن D �Cان �ن�7�2 �, هDا ��Eت %�� AEت� ، �!�% ی�ج��ز آ�2 �-� �� آ� ا�?�ا�� اآ'� ��, واح�7 ت=�K� �� O2�ى اDج�[�K� �� D 7�ى اD#�اد وا�D�ر ا��:�� . ت�AQ #: ت=2?�� #:

�, ، ی�� AE�C ��ا��ة�Kا� O2=ا�� وت�ا�? � :��ی�: 23� ا�?�م �� : Traffic Type ن�ع ا�/�آ, •

�� ا��ا#% ا�: ت�ی� ت=O2 �� ه!��7/�ی� ن�) ��C�Cو�� #: درس �3دم(ا� ^ت� حe ان% ت?�م ��Bام .ا�w?# :3�2 دون FTP و HTTP ا�?�ا�� ، #�'^ ت�K=� ان ت=O2 #�� ی�� ا�23 ��وت�آ�ل

� ال •� � ن�ع ا�/�آ, ��IPSecذا � O?/ا�� Traffic : �� ت=��O ا��ا#% �� ا� �� ، وه� ��یIPSec Kذ�% یAE ان ن/�د �� Filter Action ��ذا

,��K�2 ا�B�� ,��B�Kوا�!ي ت Policy �?��=� �� اذا ت� �� ذا �Eان ت %C-�ا� ��، #�'^ ی AK% حا��ا#

، وای�j ت��E, ی�� ت1 � ا�/�آ, �� FTP ��وت�آ�ل ی?�م ��C ا�/�آ, �� رت IPSecال 6^ل وایHTTP . �j ��رت ��وت�آ�ل� �=�Kت Filter Action :وا��ش ا�� ا��1 ��tی� اي ان�/��

�, ان Encryption and Hashing Algorithms ت��B�K ت�ی� ان�Kا� �� AEم ی�B�Kت. ا��ث�3, •� O?/ی?� ا��G Authentication Method :

eم ال ح�B�KیIPSec � ا��ث�3, وه� O?/�� ق�G ث^ث Kerberos – Digital certificates – Preshared Key .

Tunnel or Transport mode وه�� IPSecا��Bام اح�ى ن��t: ال •• ��Kا� O2=ت �� What connection type the rule�� ن�ع اDت��ل او ا�21-, ا��:

applies to

:أناع ا��X,�,ت �, ی�- ان�Kان ا� eت/�د ال حIPSec ,�/�ق ا�21-, ا��tن :# LAN ل ، او ان ی�ص�س ا�� ا��

� ��Remote access او �� ی��ف بWAN �� CثDاو ا ،. ��Cف �� ان�اع اDن �� ا��ف �� ا�D�ر ، ,��Kا� �ا��: یAE ا6!ه� �� ا�2��Dر 23� ت=2O و��

,��Kال ا� :#Win2000 &2003اع�ك ث^ث, ان�Cج� ه�ت eت ، ح��Kا� Dء وآ� واح�7 � ه�. �O2=��A ا��kض ا��: �Cي �� ا��ادت �6ص, ت�ج�, ت/�D). ، ,=��2G #: ا��1آ�ت ا��k�7 او ا��

� ا��1آ, وزادEآ�� آ�2 ح -� ��K ا��1آ, ن �23 � 7�-�2� ,��وه!7 . ا��?� زادت ا�/�ج, ا�� ا��Bام :اIن�اع ا�'^ث� ه�

• Client (Respond only)... !ه O2=ت �� j#ا�� ,��K7 ا� Domain Group security policy %وذ� Oی�G ��C ا�-�ن� رد ا��B�Kم �� 2�Gت اDح�[7 ا�6Dى ��ج�اء ت1 � ��jت :-� IPSec �� واح� �#�� #�� و�� , #: اي ش2-, ��, ا�Kال ،، اذا ت��2 ه!7 ا�IPSec ،

� ی?�م ا��B�Kم ��ر� ,��Kه!7 ا� :# eح وان�� GIPSecیO ال �ل A�G ا��/�دث� وا��1 � � � %�!� ��2?Kل #: ا�=��2ت ا��: ی��ج��, وا��6D�� م�?�اذا آIKE . NC اDج�[7 ا�6Dى #: ��Eل

O2=ت -� #: ت IPSec اج[اء �, �� اي ج[ء ��Kه!7 ا� O2=ت �ا�D�# ,-21ح�ى �� ذ�% ان ی� .�K� �� Domain�ى

• Server (Request Security) ... �� ث�/��, #: ا��د7 �� ا�K�#�ات ا��: �Kه!7 ا� O2=ت � Non-win2000 او ح�� اج�[ة Win2000 اح�[ة'� Unix 7 ، #: ه!7 ا�/��, ، اذا آ�ن�Qو

�� -�ن �1 �7 #, ، ا�� IPSec ا��B�Kم ی�K=� ا�� C� ا��/�دث�ت �ی��% #�ن ج� �اذا ��B�K�ام الا��B�� ا�K�#� �=�ق IPSecم ا�?�ر7 �� ا��Kل ا��دی, #�ن, ی��تDاي (ا��/�دث, وا

��, #: ح��). #�� IPSecدون اي اث� ��Kه!7 ا� O2=ن ت�ی- eج�[7 #: ا�21-, حDا � w�6 د�وج . #�-�ن ه!7 ه: اDنAK �!�% وا�c�2 ا��j�� IPSec ، D �6D ی�B�Kم

• Secure Server (Require Security) ... 7!ه �jط ت�?��, ��K�#�ات ��م ا��-�� و�Kا�، ح�� آ�نN ه!DIPSec 7 ت�B�Kم او D ت�� ال ج�� ان�اع ا��/�دث, واDت��ل �� اDج�[7 ا��:

� �� ت�B�Kم ه!Trusted Sites and DOmains . 7 ا�21-, او ه!ا ا��Eز ��ج�د7 #:j#وا�, اذا د�N ا�Kا��7، �/�ج, ا�� ت1 �Qك و�C2ات #: ا��#�Kد آ��/� �#�� آ� ش:ء ی��ر �

,��Kت�1د ه!7 ا� A2Kام و��B��#�ن, ی�� AEc�� :# �C اDح�ن و� ا� �ءات وا��'�Cءات � ا SNMP - Simple Network Management Protocol #: ��وت�آ�ل آ�� ی/�� IPSecال.

)Fأخ/ه, �� ا _O� ر م`ح\,ت,PU:

١. w?# رات ا��: ت�ی��Bا� �, واح�7 ت=�K� �� O2�ى ا��Eز ا��اح� ـ، اذا اردت ��د ��ت=2?�� %�23 �, �/�د7 �� ?# Custom Policy .

� اDت: Firewall �/�, ��ا�=� ج�ار ن�ري اذا آ�نN ا�21-� .٢�� %�� AE#: l�# UDP 500 ��رت • Protocol Identifier (ID) number 51 for AH , number 50 for ESPا�K��ح ��ل •

ر3� ا�2�رت ID �� ا��^حt, ان ر3� ا��2وت�آ�ل( � P��Bی. (

5� IPSecمI,ل ن\�ى ()� ا��3Uام ا�ـ P8ا� �() :

. B ا�21-, ا�� ا��Eز ��ر��ل ح[م ��ن�ت � �GیO ا�-�ا�� A ی?�م ا��Eز .١ A ا�2�ن�ت یAE ان ت-�ن ا��C� ,C ان�?�� آ�2�ت� ��/�ی� ان A �� ا��Eز IPSec Driver ی?�م .٢

. B ا��٣. �� C�� ح ا��1ك#��2ح'� وی� ?� �� ا��Bام ا� Negotiations ا��2ح'�ت � ا��Eزی ت�

Shared Key � 1�� ص�Bي ا��Kو�� ا�� ح ا� Secret Key Oی�G ��وت�آ�ل ، وآ�, �IKE -Internet Key Exchange . ن ا�� ح ا��1ك�� ,tا��^ح �� Shared Key ن�ی-

23� ا�=�# دون ان�?��, �� ا�21-, � ��. اDت � �� IKEی?�م ال .٤� ، تTwo types of Agreements ��K 3�ت � ا��Eزی ن��

Security Associations SA ا��Eزی� ، �Dا wق آ^. او روا��وث � ول ی/�د آDع ا�Cا� وح��ی� ح[م ا�2�ن�ت ا��در�C� 7��، وا�C�ع�Tت � وآ c�2ا� ��j�2� ا�'�ن: ی/�د آ � ا��Eزی

. (ا��2ن��|(ات��ل ا��=2O ح��ی� ج[ء ون�ع �/�د �٥. ,=� IPSec ا�� A ، ی�� ت��ی� � ��ح ا��1 � � ا��Eز IKE �� اآ��ل وان��ء �� ا��2ح', ��ا

Driver ه!ا ا��/�ك �� ه�ش IPSec Driver ث� ی�� Hashes ح[م ا�2�ن�ت ا��در7 �ی�� ( IPSecان��ط ال ان�t(� ، وا�6�ری Data Integrity ��/ �ظ �� ا3� ا��,

. Data confidentiality ت1 � ح[م ا�2�ن�ت ��/ �ظ �� ی� ا��ت٦. D ات�#�Kا��اوت�ات وا� ��، حIPSec eت/��ج ��=2O ال ج�� ات ا�21-, ا�6Dى �'

.��ی�ه� �� ا�21-, �� ان�� ح[م ��دی, وت?�م IPSecت�� ح[م الوی?�م Integrity ا�2�ن�ت ��Tآ� � ��ا3�� f/ ح[م B ا��Bص ��Eز IPSec Driver?�م الی .٧

2� �� و� ) ا�6�ری�(� % ت1 � �/��ی�ت�� ?�K�ا� O2=ن�ت ا�� ا��2ن��| او ا��ل ا�2�� .ث� ی�� ار

,I�,H :IPSec Authentication

وا�6�ر أى واح�ة ��C ی��Authentication . �� P3ـ �Gق ��B � �� ث^ث� IPSecی�� ا�ـ .١ ��C� ة ن?�ط��:

. أم Active Directory D#�'^ ه� ی�ج� . ن�ع ا�21-� ا�� ت��-�� • ه� B��#IPSec Client & Server A�G=�ة اIو�� ـ . � ا�!ى ت�ی� أن ت�/�ث ��, •

c�2ا� ��j�2� �3�ث�ا�� .� Oی�G ی�ی�ون ��ة ��ل#�Dا �� أوراق ا��ده� ٢. IPSec �#Windows 2003 Server� ا�� ت�B�Kم ��Authenticationـ ث^ث� �Gق ی��

:وه!7 ا�=�ق ا�'^ث� ه� . SAـ 6^ل ا�B=�ة اIو�� #� ��Cء ا�

Kerberos : ا��B�Kم #� اIنt�� ا�� ت�� ـ Default Authentication Protocolه� ا�ـ •

(Windows 2000 - 2003 – XP ). إ�� a�?ل ا��م ��/�ت� #�ن, ی?�ا�-�2 �و#� ح�� 1#NTLM Authentication .

• � O?/ا�� ل ��آ�#� ه!ا ا��2وت�ی �3�ث�ا�� Authentication �� ل�آ�ت: ه!ا ا��2وتTوی KDC -Kerberos وی�� آ��آ[ ��زع �� تl ا�-��س ٢٠٠٠ زوی�Cوا�C=�ق ا��-�ن �

v5 Key Distribution Center . اDت��Dت ��T�� ^��ی�#� ه!ا ا��2وت�آ�ل د�� j ا�c�2ت�� #: ا�C=��3ت ا��: اIج�[ة � أوا�C=�ق ا��: ت-�ن �j�7 #:اIج�[ة

Trusted Domains . م�B�Kی IKE w?#إ��ادات � O?/ا�� 3�ث�ا�� Authentication

Bل�ص�ا�� Kerberos. � اح�ى ��ا�=� C�� IPSec SAاI ��وا�w ا��Bص�ت�� ا�� تl وی� . 2409IKE RFC #:ا��/�ا�=�ق

Certificates : .. Authentication ت�B�Kم ��kض ا�ـ Public Key Certificate ه� Certificateا�ـ •

��=�ف اPublic Certificate �6Iو#�� ی?�م آ� �Gف � �G#� اDت��ل ��Bام ا�ـ و�-C, ی/��ج great Securityوه� ی�#� . �k�digital Signal Messageض ا��Tآ� � ا�ـ

�#� C2�� 2003Windows� ا��/�� 21-� �3 ت��'� #� إ�#� آ�2�ت� ��و� #�إ�� ت-� � إ��بوDح_ أن ه!ا . �1-� ت�?�Machine certificate �aی?�م ��ص�ار Iج�[ة اIا �� O2=ی

��B�K�\ �� ا�ح ��ـ . و��K#� ح�� إذا أردت ا� � � �وه(Computer & User ) � (Domain – OU) ـ�� . ا��Bص� �% IPSec Machines أ�6ى �Tن ت��

Digital ا�D-��ون� ��1داتا��ا#?� وا��Bص� ا��Bام ا�� ت�G lق ا��1 � •Certificates � ا�D-��ون� ا��1دات أنt��، وی�� ا��ی� �'� : Microsoft, Entrust,

VeriSign, Netscape.

Shared -Pre : 23� .. Pre-Sharedا�ـ • آ�� 2رة� ، وا�!ي ه Pre-shared key ا�� ح ا��1ك ��

�� Password ,ی�� tم �/!ر وت�B�Kت O?/�� م�B�Kوت�3�ث�ا�� ا��: ��B�KمةاIج�[ �IPSec ��C� ��#.

وت?�م اIج�[ة . ت��7 آ� أج�[ة ا�-�2�ت� ) ج�� – آ�د –آ�� ( ن K, ه� Pre-Sharedوا�ـ •��Bام ه!7 ا�-�� ا��1آ� ��C2ء ا�ـ ��Trust � ��C. �-21�2 ا�� . وه!7 ا�-�� D ی�� إر�

أى ی�- أن ی�� ا}G^ع �� #�� . �1-� Q� �Active Directory � 1ت-�ن �B[ن� #� ا�ـ �C�H �Q . �� Bام ه!7 ا�=�ی?� إD #� ح�� ا�� l�Cی D)وThird Party product( D

�6Iا . ی ت�� ا��Bام أى � ا�=�ی?��أن آ��,، یAE أو � ج��, ��2رة وه� •�23� ا��Eزی ، ا�� 2�، ی-�ن ��رف �� ?�K�وا�

�=�وت�B�Kم . �� IPSecـا ی�� G#:نأحe یIPSec AE �-: ی�� ا��/�دث #�� C�� ا 6^ل ا��/�دث�ت ت�B�Kم #?wوأیApplication data ،�j ��1 � ��ن�ت ا��=2?�ت

Negotiations �� 23 ا�=�#� � إذا ��#� ا��ا�=�ا��: ت��Tت �� ا�=�#��واl د6� ، وی/ _ ه!ا ا�� ح ا��1ك #: نIPSec f اDت��ل ��Bام�Kا� Plain

text in the IPSec Policy. ت ا��ی�أى�ی��% ص^ح fBش Administrator ز��Eا� �� #, �� ه!ا ا��Eز ا��j�ه�ی��C=�ق �, �j� #: ا أى او (�� #: ا�C=�ق #: �-�ن تB[ی

IPSec) �=�Kی�. ی�ى ه!ا ا�� حأنی�� AEا ی!� � Access ا��Bام��اlaا�C=�ق وControls �� Domain #: ا�C=�قا�j�Iء��IPSec �C �� ا��Kر ا�!ي ی/��ي ��

��Bام ه!7 ��ی-�و��#D Nأنt��ن �!ا #. �3اء7 ه!7 ا�?�� l�Cا�=�ی?�ت � O?/ا�� :# إذا أو ا��E�� N��BیA وا�2�6Dر #?w إذا إIPSec D أنAuthentication :#��t ا��ث�3�

NEش�آ�اح� � ��ن��| �� ,Cأو�� ,C�� ,ش�آ و��ل ذ�%، تC�l ��ی-�و��#N . ج��ز ��Bام اح�ى ا�=�ی?�� ، أو Digital Certificates ا�D-��ون� ا��1دات أ��ا�6Dت

��أو Kerberos ��وت�آ�لCثDا .

ا��رس ا�I,ن� Installing IPSec

� :م�1م١. �� وا��jوری� ا��Cص� ی�� ت/��Iم ا�tن �� Windows 2003#� اIج�[ة ا�� ت��

server آـ �� ت�?��C� �a ت/�� IPSec Client وا�� ت��-1�Windows 2003 server .

٢. ��tنI � آ� Policy ه� أن, Q� �=��ب Windows 2003 Serverأیj� ا�� اD#��ا �Windows 2003!ا #��K�ك اD#��ا� ��ج�[ة ا�� ت�� . IPSecی�� ا��Bام ا�ـ

server ام ا�ـ�B�� ت�?�IPSec �a ه� ��م ا-1� . ٣. �2Bا� � :و�-w?# %C ت/��ج إ�� . IPSec ��ـ Install ا�E� ه� أن% �NK #� ح�ج� إ��

. ت/�� اIداة ا�� ت��B�K #� إدارت, •� ا�ـ •k1تPolicy ا��/�دة . • ��Filter ب�ا��=� �ثTل �� ا��/�� .

In-The IPSec Policy management Snap: وا�!ى (IP Security Policy Management snap-In)ـ � 6^ل ا� IPSecی�� إدارة ا�ـ •

. MMC Consoleإ�#�, إ�� ا�ـ وا�!ى ی�� . IPSec Snap-In إ�, ��ـ ی�1ر� ا�� ت�ی� ا��Bا�� }دارة ا�ـ . ��C�IPSec Snap-In ت?�م ��/�� ا�ـ •aر اى ا��2ا�ا�6 %��

Local IPSec Policy .

: Local Computer ()� ا�ـ IPSec)ـ � Enableخ?ات (�4 • ��a�3Start . ��Cو�Run . ��-� �wk � ��ح #MMC��t �% �� ح�ار و#, 3 � enter ث

lح� ا�� ت�� . %� ��t#MMC Console . • ��a�3 l� � �3File ا�ـ �# MMC Console . ر أ��6�� 3 ��Cو�add/remove Snap In wk زر . (IP security Policy Management)ار و#, 3� ��6�ر �W�ر �� ح� • �ث

add . • �� %� ��tی"secelct Computer or domain" . ��Iر ا��6�� Localو#, 3

Computer . زر wk � . Finishث3� �wkj زر •Close . زر �� ا��دة إ�� ا�ـ . okث�#MMC Console . wk �� و#, 3

. #� ا��Cح� ا��Kى (IP Security Policy on Local Computer)[دوج �� . MMC Console#� ا�E[ء اIی� ��ـ •�Kا� �3� وServer (Request

Security) . �� 3 � . a�3 %� ��t�#(Assign)�� أوا�� و�Right Click . ��Cث : آ�� 1-� (Seclect Policy) ت/C� N�ان yesتTآ� � �W�ر آ�� •

ا�a�,Iا��رسConfiguring IPSec

� :م�1م• �� %C-�یConfiguration ـ�� IPSec Oی�G � ) � Policy إن�1ء – ��ج�دة Policyت��ی

). Policy ا��اد ا��Bا�� #� ا��/-� #� ت=2O ه!7 ا�ـ Rules – Filterج�ی�ة ت�KE ا�ـ و�� ج�� اIح�ال #�ن, ی�� . ی��P3 ا�� أی ت�ی� ت=2?�� . ��ة ��K�ی�ت �� Policyت�� إدارة ا�ـ •

ت��ی� –إن�1ء ( آ�� أن, ی�� ا��Bام ن \ اIدوات �ـ . }دارت�� ج�� (IPSec Snap-in)ا��Bام ا�ـ ��ت �Kى ) ا��K� �� ?2=ت�ی� ت NCاء آ��(Local Computer – Active Directory Policy).

��Cآ[ #� اIج[اء ا�� ه!ا ا� �� . �6رج ن=�ق ه!ا ا�-��ب Group PolicyوIن إدارة ا�ـ • �Cن�# . ن IPSec ��K#� إ��ادات ا�ـ ) ا��/-� –تB�f ( �� آ �

Fا�ـ : أو [�P?U� R�;OUا�IPSec

) P?+Server & Client] ()� ا�ـ ( :In-Custom IPSec MMC Snapإن8,ء • ��a�3Start . ��Cو�Run . ��-� �3MMC . ح�� wk � . Enterث• ��a�3 l�#File ��Cو� Add/remove Snap-In. • �#�� 3(Computer Management) . أن ا�ـ ه� ا��Bر Local ComputerوتTآ� �• �#�� 3(Group Policy object editor) . أن ا�ـ ه� ا��Bر Local ComputerوتTآ� �• �3�#�� (Certificate) . و��ه� ا��6رComputer account . أن ا�ـ LocalوتTآ� �

Computer ر��B�ا� �ه • �#�� 3(IP Security Policy Management ) . أن ا�ـ ه� Local ComputerوتTآ� �

ا��Bر• �#�� 3(IP security Monitor). 3� �/ _ ا�ـ •Console �� IPSec Console.

� ()� ا�O;,ز P� ) P?+Server & Client] ()� ا�ـ (:+8'�4 ا��ا� ا}ج�اء#: ه!ا k1�� م�?C�� .�� ا��Eز Auditing ا��ا�23 EKت � ��C ی�� ا�� اIح�اث �/e ی�

�� IPSec :# �?حD ل��تDا . ه!7 ��ن ن�Tآ� �� Kأنون IPSec �وی�� . اIج�[ة ج�ا ��ی�� ا��اB�� 23=�ات ا�� k1ت:

• ��a�3 l� � �3Start . ��Cو�Programs ��Cو� Administrative Tools ��Cو� IPSec Console . �?��Kة ا��=Bا� �# ,a�1ن�� C�# ل ا�!ى�Kن�ا�- �وه.

• Local Computer Policy – Computer Configuration – Windows setting – security setting – Local Policy – Audit Policy – Audit Logon Events

• � �)3� ��6�ر آSuccess – Failure( . wkj� �3 � .ok زر ث• Local Computer Policy – Computer Configuration – Windows setting –

security setting – Local Policy – Audit Policy – Audit Object Access • � �)3� ��6�ر آSuccess – Failureزر . ( wkj� �3 � .okث3� �/ _ ا��k�ات •

� ()� ا�ـ P�� ا��ا�,� R�;O+IPSec : ��وا��C ا��Cج/��C?�م ��ا�23 اDت��Dت �� . �� IPSec Policy ا��: ��?�م k1�� م�أن ن? AEی

�� ى ا��ن�1ء23� ان ن?�م . IPSec Monitor tool ��ا�23ا�ش�ش� �� ه!7 و. k1��Iداةا � وت��ی :ن?�م ��: إ��ادات��

• ��a�3 l� � �3Start . ��Cو�Programs ��Cو� Administrative Tools ��Cو� IPSec Console . �?��Kة ا��=Bا� �# ,a�1ن�� C�# ل ا�!ى�Kن�ا�- �وه

� ا��اد �� •�� 3(IP Security Monitor). ز��Eا� �� % .#��t ا�Kا� �� ?# . �و3 .(Properties)تa�3 ��t�� أوا�� و�wkj�. ��C زر ا� �رة اIی�

• ��3 �k�� م�ون? Refresh 3� �wkj زر ث�ن, ث� ١ إ�� ث�ن, �٤٥Ok

��وز +8'�4 ��,�� أم�� : H,ن�, �,$ � ��٢٠٠٣خ,ص ��,�Xا�ـ +8'�4 ا� �() � : ServerاCم��

3� ��6�ل �� ا�ـ •Server . ب ا�ـ�K/�Administrator • ��a�3 l� � �3Start . ��Cو�Programs ��Cو� Administrative Tools ��Cو� IPSec

Console . �?��Kة ا��=Bا� �# ,a�1ن�� C�# ل ا�!ى�Kن�ا�- �وه • �KیIء ا]Eا� �# .Iزر ا� �رة ا wkj� �3 ��Iا �� Kی(IP Security Policy on Local

Computer). • �# ��tرات ت�ث^ث� ا�6 �C�ا� �ح�Cا� )� ه!ا ا� �� O�� ) ش�ح�Cه� #� ج[ء �Kا� �� 3

��Iا(Secure Server). ��Cأوا�� و� ��a�3 ��t�# (Assign). • � O2=�� ص��Bا� ��Kح�� ا� �kح_ تD(No)إ� �(Yes).

� اCم�� ()� ا�ـ �,�X8'�4 ا�+Client : 3� ��6�ل �� ا�ـ •Client . ب ا�ـ�K/�Administrator . • ��a�3 l� � �3Start . ��Cو�Programs ��Cو� Administrative Tools ��Cو� IPSec

Console . �?��Kة ا��=Bا� �# ,a�1ن�� C�# ل ا�!ى�Kن�ا�- �وه • Eا� �# �KیIء ا] . ��Iا �� KیIزر ا� �رة ا wkj� �3(IP Security Policy on Local

Computer). ه!ا ا� �� ( ت��t #� ا��Cح� ا��C ث^ث� ا�6�رات •� O�� ) ش�ح�Cه� #� ج[ء �Kا� �� 3

��Iا(Client – respond only) . ��Cأوا�� و� ��a�3 ��t�#(Assign). • kح_ تD � O2=�� ص��Bا� ��Kح�� ا� �(No) إ�� (Yes).

� ا�*,�� ح�U ه/e ا�3?ة م`ح\,ت� : و��ح �) ن��% ج��ز نا�ن •/ . Client ـی�� آ وا��Eز ا�'�ن:. Secure Server ی�� آK�#� ا�

�Gی(Q� �ICMP Echo Packets ,C�T ح[�� ن�ت��ر��ل�?�م ا�� Tآ�� O ا�� K�Ping �#)أداة� �#�Kا� A�=� ت�� 3: ا��/�دث�ت واDت��Dت �1-� ا� أن و�-

%�!� � .و�E�KA ا��• �� Ping ا��I ��2ء �3م ا�K�#� إذاو�-�� ی�� أن23� IPSecا�� C�T, ��ل إ��#�ن,

. ا�21-�� ا�K�#�إذا •�� Nآ�ن � Secure Server ا�� ا��I=2?� �� ج��ز ا�� ، #�ن, � ی�

Ping ,C�Tت �� ا��إذا وأی��IPSec. .. �jل 23�� Client آ�ن ا�=�#�ن ی=2?�ن �Tت �� # �� ی=�A أى Dن إر��ا�2�ن�ت 23� ��C� ن أن�ی,ا��/�دث� ت-�� .

• �Cت أ��Bام �� C�3 �Cه �Cح_ أنDIPSec Policy �k1م ا��tC� �6ص� Windows 2003 Server . ل ه!7إن�آ�م ��وت�B�Kت ت��Kا� Kerberos � O?/ل ا��آ�آ�2وت�3�ث�ا��

Authentication . ج�ا �� . وIن ا��Eزان هj� �C�ان ��C=�ق ، #K-�ن ا��

: (�4 ا��ا$?� اCم�� اخPU,ر3� �-��.. Run و�Client .. ��a�3rt Sta . ��C ا�ـ �� .١ CMD . زر wkj� �3 � .OKث٢. �� 3Ping ـ�� IP ص ��ـ�Bا� Server. ت�ىأن، یIPSec Monitor window AE ش�ش� ��ا�23إ��ارج� .٣� � �اC�I ا��ا�=�ا�� ص

SA ، �c ا��ت و� Authentication ا��ث�3� ��j ��ن�ت � وأی�jا��: نT1ت � ا��Eزی .ا��: ت� ت�2د��

ا��د �� ا��Eزی ، #K-�ن SA اC�I� ا��ا�=� ت� ت/?O أن Ping .. �� 2G أ�� دة 3�ا�ن .٤��Iا�/�� آ�� #: ا ��ا�=2

. Clientا�ـ �� .٥��a�?ى ��ا��Kـ ا�MMC ، :# l �ن� Computer Management إ�� System tools إ�� Event Viewer �� wk �� [دوج�وان?� ن?�Security log . 7 وا

logـا�� C�ا� ��Eد #: ا�� ا��ج�ا�� MMC . ٦. %�� AEت ا�ن ت�ى أنیD��تDا اC�I� ا��ا�=��ا�=� ا��: ت/??Nا��Cج/� ا��?�ری� ا��: ت2

IPSec SA . ا�?�ی� � Pص�ى ��3: ا�� wا��1ی �3� ��C[ی. AEی�=: ت?�ی�ا ��1 ��?�ی� أنی

� را�=� ا�C �C� IP. (وی أر�3م��2G �� ا�6^ف (ا��:�� وه!ا ی�C: ان, تk1وت IPSec �� .ا��Eزی

IKE security association established Mode: Data Protection Mode (Quick Mode) Peer Identity: Kerberos based Identity: [email protected] Peer IP Address: 10.10.1.5 Filter: Source IP Address 10.10.1.6 Source IP Address Mask 255.255.255.255 Destination IP Address 10.10.1.5 Destination IP Address Mask 255.255.255.255 Protocol 0 Source Port 0 Destination Port 0 Parameters: ESP Algorithm DES CBC HMAC Algorithm SHA AH Algorithm None Encapsulation Transport Mode InboundSpi <a large number>1128617882 OutBountSpi <a large number>865899841 Lifetime (sec) 900 Lifetime (kb) 100000

,I�,H :ل ا,I�م`ح\,ت ()� ا�� X,$] و()� ا��X,�,ت اCم��

��Xا� ��,�� Hf+@مgا Secure Server �()ةR;6Cا: ی�K=��ن اDت��ل �� w?# IPSec Clients ��^ء Secure Server ا�� ا�K�##: ح�� •�

�#�Kا� • �jوأی ی��-� #�Kا�� Iا �� eا�/�ی : ن�tم #ا�/��آ�� (��, IPSec ن�tم D ی=O2أي �

DNS -Domain Name System ) ... (Dإذا إ �Tت ��Bاما�/�آ� ت�� IPSec. . 1#� �� ات�� و�� ت?�ری� � وDن ا�-'� � ا��Bت • ��K# ، �#�K6 : �� ا� �-1� �ت��

�� ا�K�2G. �#�: وه!ا ش:ء. ذ�%�� آ� ح[�� إ�� ج�ا ت��ف ��2 ا�� Dن �Tن�ت ت Packet �23 Nج�� أن�� آ�ن�Bا�21-� إ�� ت.

��ا�/??� �!ا #: ا�21-�ت •�� ا�2��Dرات آ� آ�� IPSec #�ن, ی�� Cء �� !6Tره!7 ت��Iا ��Cه� ��Cء �!ا ��%.ا�21-� وا��k�ات #: �Kا�ا� A��C2% وت��Cت=��ت% ( �: ت�C�Iا�21-� #: ا -

) . ا��: ت�� واIج�[ة وا��2ا�| -ا�21-� �ء و�2G C�� ه-��

5U�,$IPSec Clients - Allowing Non)^ م� ا�IPSec ��X ا�X�,ح �'�� (�`ءTo Talk with A Server

• �jح�ل أی :# �Cأن �CEم إ�� اح��tن ن��B�Kی D ح ��^ء��Kا� IPSec ه��C� �C��# ،أن �� O2=ن �#�Kا� Server D�� #�Kا� � ��ه!Secure Server. 7 ا��Kلا��تDا �Tت ��aدا A�=ت�

��Bام�� IPSec � ی- ا�=�ف ا�� ی�B�Kم الإذا، �-� IPSec ,ن�#�jأی�� ا��/�ث ��, ی�� اDت��لا��دی��=�ق �Tش( دون ت�?Cا� A�G �� Bام #: ح�ل �� ی�د ا�� IKE إذا، و�-

�?�ط A�G إذا ( IPSec ��/�دث� #�� ا� �ر ی�� ا��2ء IKE م ا�� د �� A�G ن?�ش�3 � ت� ��C, ��ة د3?,ا��/�دث��. ا�=�ف ا�'�ن:إ��واح�7، ث� ی��د #��C3 lة A�G ج�ی� ، #�ن اDت��ل

�ع ا� ^ت� وا��Bا��إ�,��C=�ق ،ا��I �� ه!ا و��K=�ة(�� :# ��ت ا��: �k�� N?2Gءآ�نN ��,، ن?�م ا�� ا��:إ�� ج�[ةاI و}��دة •�Kأن( ا�� ا�� Nآ�ن

Client أو �#�Kا� �GیO ا�C?� �� [ر ا�� وس ، ث� ن��Bر ( Secure Server ا�� Unassign

إن8,ء ��,�� أم�� 6ة: را9$,

� :م�1م١. �C�3 ،O��Kا��رس ا� :# B��ت ا�ـ �ام�� . ا�'^ث� ا��Eه[ة Windows إح�ى �Tا�/�آ��

��ت . ا��Eزی�� l2�ت eح �C� �6ص� �� ه�Cك ح�Dت �6ص� یAE #�� أن ن?�م ��ن�1ء -� ! Cت �/� NK� ه[ة�Eوز ا��Cی�ج�ی�ة . ا� �� :و� ه!7 ا�/�Dت ا�� یAE #�� إن�1ء

ج��زا�/�آ� ت�� أن •� �Q �� إ��ت/��ج #�ن% .ن Domain ,K #: ا�C=�قأ��jءی�� Cء ��ت .��a�C2 ت?�م �6ص��Kن ا�D %دة وذ��ج�و #: ا��Cی�ل زا��آ�م ��وت�B�Kت Kerberos O?/��

. Domain وا�!ي ی�=�� A�� Authentication ا��ث�3�� .IP Address �21-�ا�� C�ان ��D��دا�/�آ� ت�� أن أردت إذا •٢. {�� :وه!7 ا�B=�ات ه� . ه�Cك ��ة 6=�ات یAE إتIPSec . ��2 ن�1ء • �jا�� ن�ا�?�C�Iا� ��K�. • ��(Configuration) ـ�� IPSec Policies .. � - Filter list و� a�3�� ا� ^ت�(وه� ت1�

) .. Filters Actions ا� ^ت�أ��لن/�د

� إ(�اد�,��IPSec • �� #�Kا� . ��K�وا� O��Kء ا�]Eا� �# ,a�1ن�� C�3 ل ا�!ى�Kن�ا�- l� � �3(IPSec Console) . • �� 3� �wkj زر ا� �رة اIی�IP Security Policies on local Computer . ��a�3 ��t�#

��Cأوا�� و�)Create IP Security Policy. . ( t�� IP ن�C�ا ت/Nج�ی�ة� �% ش�ش� �وSecurity Policy Wizard wk . Next ، ث� ا

• ��3� �-�� ا��Kی�ة ا��Eزر . ا� wkj� �3 � . Nextث• � ص�Cوق�^�� kء3� lص Activate the default response rule.� .next ث• ث� اwk) آ!�%اIص�وه� #: (��Bر Edit Properties 6�ر ت��ی� ا�B��faأنتTآ� �

Finish . • fa��6 �� :# �� ا��: N�3 ��، تTآ� ��Kرا��ا�6 Use Add Wizard ..wk و� ث� ا

Add ا��3 � ��2ای� ��Iا Security Rules . • �� wk ث� اThis rule does not specify a tunnel) (wk ، ث� ا��6ر ا�B�ر Next ا

Next . . Next ث� اAll network connections (wk(ـ ا��6ر ا�[ر ا��Bص � •wk زر . ��6�ره� . Authentication Methodت/�ی� ا�ـ • �راج� ث��'� #� ا��ع ( . Nextث

� ) .��ف �� آ � ا�6�ر �Gی?� دون أ�6ى . اIول � ه!ا ا� �wk ( IP Filter List)ت/�ی� ا�ـ • � )� ا�E[ء ا�� #– إن ش�ء ا� –��1Cح�� ( . Next ز ثFilter Action . wkت/�ی� • � ) #� ا�E[ء ا�� – إن ش�ء ا� –��1Cح�� . ( . Nextث . Finishو#�� 3� ��WWizard . wkj�ر أ�6 ص /� #� ا�ـ •

: Filter List+*�� ا�ـ ١. �� #�Kا� . ��K�وا� O��Kء ا�]Eا� �# ,a�1ن�� C�3 ل ا�!ى�Kن�ا�- l� � �3(IPSec Console) . ٢. �� 3� �wkj زر ا� �رة اIی�IP Security Policies on local Computer . ��a�3 ��t�#

��Cأوا�� و�)Manage IP Filter Lists & Filter Action . ( ار ا��ا�/ �� %� ��t� . ) .( Manage IP Filter Listsت2�یA و#, 3� ��6�ل إ��

3� �wkj زر .٣add ار�ا�/ �� :و#, 3� �ـ . #��t �% �� ا�/�ار ا�� . ا�O��K ا��ج�د أ

• �� وصP �� -آ�� اwk زر •Add ��ا� . ا��ج�د �� أ�� ی�� ا�� . �Wwizard�ر .٤�� :و#, 3

• wkNext أول ش�ش� �# . wk زر . (Source address) ت/N �6ن� (My IP Address)ا�6�ر • � . nextث) � �6ن� ��E�� Clientز ا�ـ IP addressت/�ی� •Destination address( . � Nextث . Nextث� .(Select Protocol Type)وذ�% � �6ن� . 23�� ا�6�ر ا��2وت�آ�ل ا��اد • . Finishث� اQ . wk� ��Bر (Edit Properties)اج�� ا�B�ر •

.okو3�� 3� �wkj زر . ا��1ش� ا��K?� ی��د �% إ�� .٥ .Okو#�� 3� �wkj .(Manage IP Filter Lists & Filter Action)ی��د �% إ�� ش�ش� .٦

: Filter Action+*�� أ�9,ل ا�&`+� ١. �� #�Kا� . ��K�وا� O��Kء ا�]Eا� �# ,a�1ن�� C�3 ل ا�!ى�Kن�ا�- l� � �3(IPSec

Console) . ٢. wkj� �3 �� #�IP Security Policies on local Computer . ��t زر ا� �رة اIی�

��Cأوا�� و� ��a�3)Manage IP Filter Lists & Filter Action . ( ار�ا�/ �� %� ��t� ) .( Manage Filter Actionو#, 3� ��6�ل إ�� ت2�یA . ا��

3� �wkj زر . (Use add Wizard)تTآ� � وج�د �^�� صl #� �6ن� .٣ � .addث� ا�� Wwizard�ر .٤�� : و#, 3

wkNext أول ش�ش� �# . )3� ��K�� ا� �� Partner Filter Actionزر .( � Nextث

3� ��6�ر Negotiate security . زر wk � nextث3� ��6�ر (Do not communicate with computers that do not support

IPSec) . � . Nextث� . IPSecأى D ت�/�ث �� اIج�[ة ا�� D ت��)3� ��6�ر Integrity Only( . wk � . Nextث

Q . wk� ��Bر (Edit Properties)تTآ� � أن ا�B�ر � . Finishث٥. O��Kار ا��د �% إ�� ا�/�ی�. wkj� � . Closeو#, 3 .أی��Client �j ا�ـ Filter actionا��Bص� ��ـ 3� ��C ! آ� ت�% ا�B=�ات .٦

�م`ح\,ت ()� �h,� :Configuring an IPSec Filter List ا�&`+� إ(�اد

١. �� ، أى ی�� إ�#�, إ�� IP Layer آ�� #�C #: دروس ��?� �� K�ى IPSec ی�� ا�� ا�/[م � IP Packets ح[م ا�2�ن�ت� O?/ا�� ، ح�G Filters �C� eیO #^ت�، �!�% ی��وآ!�% ا�e/2 #: ا� ^ت� إذا آ�نN ه!7 اIن�اع � ا�/[م یAE ت�T��C أم D، أم ��C، ا}ر��ل ی�

��?�2ل Dا �C�. ا� ^ت� .٢� ، وا� ^ت� IPSec in transport modeا� ^ت� ا��: ت?�م ��/-� ��ل: ه�Cك ن��

ی�� إ�#� ا�C�ع ا�'�ن: إ�: ج�� ا�/[م حIPSec in tunnel mode . eا��: ت?�م ��/-� #: ا�ـ ا� ^ت� �� ا�/[م، #�ن, ی�� اDن�?�ل إ�� ا�C�ع اIول ��C ت=2?,، و�� ذ�%، إذا �� ی�� =��?� أى�

وأی�j ه�Cك ��c أن�اع ا�2�ن�ت ا��: D .. وا�e/2 #�� ( IPSec transport mode )#^ت��Cی�� IPSec .

��Cوی ا�21-�، و�\ �� أ��س یAE أن ت-�ن �� أ��س IPSec tunnel ن ا� ^ت� #: ن�tمأ .٣!#�C�س أر�3م ا��إذا آ�نN ا� ^ت� �C2� �� أ��س ، Iن,Ports ا��2وت�آ�Dت أو �� أ

ج[ء � ا�/[��Tت �� ،! C�ل أو ا��آ�ا��2وت O Cا� �، وا�E[ء ا��6 � ی�� Tunnel دا6C�Tرات�ه!7 ا�/[�� # w?K�� ,Unicast Kerberos IKE ا�� آ�� ذآ�ن� ��?� أن ��.(,، ��Cه�

or RSVP packets �� GیO إذا ت� إر� O Cإ�� ا� packet forwarding, or the Routing and Remote Access Service ، ا�ـ �Tت ��Cه� D ی��2ون ا��'�Cءا �

IPSec -� ،multicast or broadcast packets D Dءات و�C'��ی�� ت�T��C وإن�� ت��2 اO Cت�� 2 ا�.

��، ی�� ت�E�� E� :#��, واح�7 تa�3 ��K�� ا� ^ت� أن �E�� ا� ^ت� .٤�Kا� :# �� ا��: ی�� وFilter list�� ی��Kا� ^ت� ا��?�ة ا��=2?� وت �� ه!7 ا�?�a�� ا��Kت eح ، =� �?�� ا� ^ت�. ح[م ا�2�ن�تaا��1رآ, 3� �� اIج�[ة ا��: ت=O2 ن \ � Filter lists ویAE ا��

��C� ��# � ��B� ت�� أو �Kا� .

٥. �C� �jآ� أیTإ��اد #^ت� ت IPSec �� aدا � ��/�آ� ا��: یAE أن ت-�ن ��C,، أن ت��Mirrors �� ه!7 ا�� ت=2O ا� ^ت� �� آ^ ا��Eن2 ، ا�/[م ا��K?��2 ��، حe ت��

�� . Inbound and outbound packets وا�� IPSec ا��: D ت�B�KماIج�[ة��/�ث �� IPSec ت�B�Kم ا��:��Iج�[ةه�Cك �Gی?��ن ��K��ح .٦

:وه:

• ��Bام #�� و ��ن ت-�ن Q� ، حe ی�� ه!ا ا� �� ا�K��ح ��/[م �C�� ا Permit ا� �� 3,C�� زإ��ور��Eا� . O��=ت �� Bام ه!ا ا� �� ا��Bام #�� ی�� ت�ی� ��ا� ا�/�آ�3

�Tح �� ور دون ت��K�� . تD�/ح �/[ما��دی�#: ا��Kا� �دون ICMP , DNS , SNMP ، ی� ، �Tه�ب أوت!�� Tح ��/[م دون ت��K�� إ�� Destination IP �-�ن ��'� Default

gateway , DHCP , DNS servers , NON-IPSec systems ��Bام ا�B�ر •�� 3 Fall back to unsecured communication lز ا��/�ث �� ا�!ي ی��E��

�Wizardـ 6^ل ا وD ت��B�K,، وی��t ه!ا ا�B�ر #: IPSec ا��: D ت��فاIج�[ة

��,�Xا� � : Active Directory ا��Oة إ�� ا�ـ آ�&�� إ�,� $ :QG ب, D ا�.J+ات ا�/�� ا��1

١. Start �� و� Run . ب�/�ب� QGMMC . زر aEnب QG QثEnter .

� . �V+ر آ+ن1+ل $�رغ .٢R�G j/0ب QG W�$وFile �� ) و�Add/ remove Sanp-in(.

٣. �$�Skب QG(Group Policy Object Editor).

٤. � . Browsو$�QG W بaEn زر . بP ا��+ار ا�/�� 3

بP ا��+ار ا�/�� .٥� e� okثQG Q بaEn زر .(default Domain Policy )و$�QG W ب�خ/��ر . ��3

. QGfinish بaEn زر .٦

� ا��+ن1+ل ب��ج+ع إ� .٧

ا��ابFا��رسConfiguring IPSec for Tunnel Mode

� :م�1مو�� نP�J/1 أ�n� أن . Transport Mode $� ا�ـ IPSec � آ�� ن1/.�م ا�ـ $� ا��'ء ا��1بY شح •

� . Tunnel ModeنW��./1 $� ا�ـ � � rا%/.�ام ا�ـ ح�IPSec Tunnel ة �'ا�� Y��/� . �� P ��م ا��ج� إ�� ت�ب+�� ت��0� �� خ5ل اuن/نSubnet . q ب�� اث �ن tunnelإ��ن�� إن��ء ��N

Q� ات[�ل خ�ص ب�.

u Remote accessن��ء ات[�ل g Client ��[� ت,��0 �� أن�� ـ IPSec Tunnelا�ـ •

VPN Connection .. ب�� ]�� ا�/� ت1/.�م ت+ص�D ش��/e ا�/� ت, D ب �3م " و��Jا�Windows 2003 Server ب��ـ ��Jب�Remote Devices . /1ت eأن � �[P�JTunnel D إن��ء آ

� . ��IP Addressشة ب�� +ان�

• v�%Nب�� ت e � �� أخى ��Tunnel إن��ء Y�� filter 5�RQ ا�ـ (Source & Destination

IP address ). إن��ء ا�ـ � � W5ح�3 أن� P�Tunnel D � P�J/1ت g eنk$ filter ا�ـ �J%ب+ا (Protocol or Port) . نI ا�ـ(Windows 2003 Server IPSec Stack) اbه Q�� g

� ا%/.�ام ا�ـ •� �(AH) ا�ـ �$+/� Authentication ـ�� Tunnel .. ا%/.�ام ا�ـ Q/� � �0 (ESP)آ�/� . Tunnelا�ـ

inbound Trafficواح�ة ��ـ . ( واح�ة � � آD ن�� . k$ 2 Rulesنe ت�/�ج إ�� . ب��Tunnel �G �ء • ) . Outbound Traffic واح�ة ��ـ -

:IPSec for Tunnel Mode �)ـ configure(�4 خ?ات

• �0�% WRن��kب � G ىbا��+ن1+ل ا� j/0ب QG . W . IPSec Consoleوا%

1 �ة QGPolicy ب��aEn ا� 'دوج �� ا�ـ • . Partner ا�

بP ح+ار �3�$ � . QGIP Filter List ب��aEn ا� 'دوج �� أى •� e( Edit Rule Properties).

• f�+ب��خ+ل إ�� ت� QG(Tunnel Setting). ��/ا��+ار ا� Pب� e� �3�$:

ا�.�ص QGIP ب/�� ا�ـ . (The tunnel endpoint is specified by this IP address)$� ا�.�ن� •

.(Remote Endpoint)ب��ـ

ا . QGok بaEn زر •�E/أح0| ا� Qت ث.

ا�H!مGا��رسMonitoring IPSec& Managing

� :م�1م• D واmن % /,�Q آ��0 إدارة و�ا��G هbا ا�, Y�%IPSec Configuration . D أن ت,� � آ�� ن�+م ب,

� . ت�+ن ب�J�1 إ�� ح� �� IPSecوإدارة ا�ـ .� I90%ن ا�ـ . �� ح D ا�, D %10وg ت/f�J أآ8��/1� ��Gإن��ء ا�� (Filter List – Riles – Filter action).

و�� ه �ك ��/�ن ��0ت�ن وه � . �� أج�'ة ا�� +ت IPSecه �ك ��ة �ق تP�J/1 ب�� ا��G ا�ـ •(Monitor Event Log – IP Security Monitoring ).

: IP Security Monitorا��3Uام ا�ـ

�� ا��و�� . MMC إ�� ا�ـ ( IP Security Monitor)إ�S$� ا�ـ .١

بP ا�/�� .٢ . Local Computerا�� اD#��ا� ه� �W�ر ا�ـ و. � ��3 ا�

� ا�� .٣�� #� ج��ز أ3 �6{: • �� . a�3 ��t�#Add Computer�� أوا�� و�IP Security Monitor . ��Cآ�% ی� �6D�ر ج��ز آ�2�ت� � Browseر و#, 3� �wkj ز . �WAdd Computer�ر �� ح�ار •

دا6� ا��و� .ی��t ا��Eز ا��Eی� #� ا��Cح� ا��Kى � ا�-�نK�ل �� ا��و� ا�!ى آ�ن أص^ �Wه� •٤. ,Eaر ن��Wء ا��اد إ]Eت��ی� ا� Oی�G � � �GیO ا�-�نK�ل ��1ه�ة ا�� ص� .ی�-

Using Event Logging: �#� ا�ـ �� 3(Group Policy Object Editor ) إ�� ا�ـ MMC .

Local Computer Policy – Computer configuration – windowsات�2 ا��Kر ا�� setting – security setting – Local Policy – audit Policy ).

�� 3(Double Click) ��Iا �� (Audit object access). � ا�B�رات k1�� 3(Success –Failure). زر wk � okث

�6H ت��وآ�2 �Cه!7 ا��آ �\ ات��ل �T�� 3. 3� ��2�6ر ا�ـ event Log .

ا�X,دسا��رسTroubleshooting IPSec

� :م�1م� IPSecا�2�6ر ا�ـ " ی?�� وه�Cك ��ة �Gق ی�- ا��Bا�� " . ��Tآ� � أن, ی�دى ��, �1-

��=� ا�� - إن ش�ء ا� -ه!7 ا�=�ق ��C�Cو�� . ��Tدی� ه!ا ا��Iا �# .

Identifying Common IPSec Issues : 6^ل � � ج��زى آ�2�ت� D ی�- أن ت�� . Secured ConnectionأA�Q اDت��Dت ا�� ت�

: ا�B=�ات ا�� إت�2عی�- و��A�k �� ه!7 ا��1-�� یlEC ا�ـ . � آ^ه�� Pingث� �/�و�� . � ا��Eزی �� IPSecإی?�ف ا�ـ � ��#Ping 7�C�� ا!�#

) . ��Cوی أج�[ة – آ�وت ش2-� –آ��^ت ( وج�د T=6 #� اDت��ل ا��/�� Restart ـ�� (IPSec Policy agent ) . & ام ا�ـ�B��أن ��Tآ� � (IP Security Monitor)ا

� .(Matching SAs)ا��Eزان ��ی� ت� ت�T�� IPSec Policy ^-� ��Cآ� � أن ا�ـ (IPSec Policy Management Tool)ا��Bام ا�ـ

.وأن�� ا#?� �� j . ا��Eزی

Verifying That the right policy is assigned: اDت��Dت �3 ت-�ن Q� #�ن. آ�ن ��ی% واح�ة T=6 – أو – ت� ت�IPSec Policy ��Cإذا �� ی- ��ی%

�� أم Policy T=6وه�Cك ��ة �Gق ن�2�B �� ا�ـ . Nى �� إذا آ�ن�C� . ه!7 ا�=�ق :و� . �=2?� أم Policy Dوه� �Gی?� ��2Bك ه� ا�ـ . (ID 279)ر3� ��/�ث (Event Log)�ر ا�ـ 2ا�6 • ��/�ی� ه� ت� ا��یO �� ا�ـ ( IP Security Monitor) #� ا�ـ Main Modeا�2�6ر ا�ـ •

Security D ص� ��}6 ��3ت . أم�Bا� �Bن�ت ا��ری�ا�2�6ر ا�2 � .و��ه� ی��2 (Group Policy object)��1ه�ة ا�ـ •�C�2?� . ا�=� ��C� أى �#�� .

Checking for Policy Mismatches: �\ Dزالو�- .(each End) �=2?� �� آ^ ا��Cی� policiesإذا آ�ن ��ی% •Tت D ی�-

��ت Q� �. ات��ل �Kأن� ا� A2K� ن ه!ا�ی- �?# ��a^�(Not Matches). • �#?� ی�=% . و3� �?�اءة وصP ا�fC ج�ا . (ID 547) و#� ه!7 ا�/�� 3� ��اج�� ا�/�ث ر3

.� ��ح �/� ه!7 ا��1-�� ( Authentication – Security Methods)تTآ� � أن ا�ـ •��Kآ^ ا� �# ��B�K�ا� .

�3Iا �� (one setting in Common).

:ا��اج� )ت�ج�� ا� �� ا��ا�� -�� ( 291-70 ��ی-�و��#Sybex Nآ��ب •• Nا}ن��ن � ��Cة و��ت آ'D�?� ا�3 ( ��ة�ة �� ?� )أآ'� � ��1ی

Documents

IP Addressing and Subnetting