För sådär en 10 år tillbaka i tiden kom Windows 2000 och då kom även stödet för IPsec till Windows. IPsec är ett ramverk för att säkra trafik över IP-nätverk.

Med hjälp av IPsec får man säkerhet från en ändpunkt till en annan.
Exempel på ändpunkter som kommunicerar skulle kunna vara:
• Klient till klient
• Server till klient
• Nätverk till nätverk

Vi kommer i denna post att behandla tillämpningen av IPsec i Windows miljöer och hur detta går att använda då fler och fler tjänster och applikationer använder sig av och integrerar med IPsec. När man talar om IPsec implementationer i Windows miljöer så kommer man ofta i kontakt med Server and Domain Isolation, som oftast skrivs SDI.

SDI är en metod för att segmentera nätverket i logiska isolerade zoner. I de olika zonerna placeras resurser från ens infrastruktur som exempelvis skrivare, klienter, servrar.
Allt som oftast finns det mer än en zon då den verksamhet som inför SDI har olika krav och nivåer av säkerhet, integritet, kryptering och autentisering till de olika resurserna.
Nedan bild visualiserar hur en logisk segmentering i form av SDI zoner kan se ut.

I exempelet har resurserna i ”Icke-manageradet Nätverk” inte åtkoms till resurserna zonerna ”Managerat Nätverk” och ”Isolerat Nätverk”. De enda som har åtkomst till resurserna i ”Isolerat Nätverk” är resurserna i ”Managerat Nätverk”. IPsec SDI medför att trafiken autentiseras i ditt nätverk innan den initieras, dvs. trafiken är betrodd och du håller på så sätt icke-betrodda datorer isolerade från att kunna kommunicera med resurser i ditt nätverk. Kraven för hur trafiken mellan de olika zonerna sker styrs utifrån verksamhetens behov.

Implementationen av IPsec SDI görs enklast med hjälp av Active Directory Group Policies där man enkelt kan filtrera och tilldela inställningarna genom gruppmedlemskap vilket ger en flexibel, dynamisk applicering och hantering. Personligen får jag säga att jag tycker att hanteringen och gränssnittet som erbjuds sedan Windows Vista och Windows 2008 har gjort arbete kring IPsec och SDI väldigt mycket enklare. För en lyckad SDI implementation krävs det, förutom förkunskaper om IPsec och Windows Server, en hel del planering och dokumentation.

SDI och IPsec ska betraktas som ett ytterligare lager av skydd i nätverket, det är inget som ersätter patchning, antivirus eller säkerhetshärdning så som andra säkerhetsprodukter som ens verksamhet har behov av. Flera av Microsofts tjänster och applikationer har senaste tiden fått en allt närmare integration till IPsec, på listan finns bl.a. Network Access Protection (NAP) samt DirectAccess.

Förutsättningarna för SDI finns i Windows operativsystem, inga fler produkter behövs och likaså finns där heller inga ytterligare kostnader. SDI går att införa i nätverket utan att man behöver förändra på den fysiska infrastrukturen, dvs. du behöver inte byta ut dina routrar, switchar, brandväggar då IPsec applicera på resurser som använder sig utav IP.

IPsec är och kommer vara ett återkommande ämne som vi faller tillbaka till framöver då vi tittar vidare på flera av de tjänster som Microsoft och Onevinn AB erbjuder.
Onevinn AB har en väldigt lång och samlad erfarenhet av att arbeta med tjänster och teknologier som förlitar sig på IPsec. I stort sätt alla våra kunder har en eller flera tjänster eller teknologier som använder sig utav IPsec i sin infrastruktur och vi tror att användningsområdet och införandet kommer att öka.