Ekstensi Soket Aman Winsock
Ekstensi soket aman ke Winsock memungkinkan aplikasi soket untuk mengontrol keamanan lalu lintas mereka melalui jaringan. Ekstensi ini memungkinkan aplikasi untuk memberikan kebijakan dan persyaratan keamanan untuk lalu lintas jaringan mereka, dan mengkueri pengaturan keamanan yang diterapkan. Misalnya, aplikasi dapat menggunakan ekstensi ini untuk mengkueri token keamanan serekan yang dapat digunakan untuk melakukan pemeriksaan akses tingkat aplikasi.
Ekstensi soket aman dimaksudkan untuk mengintegrasikan layanan yang disediakan oleh IPsec dan protokol keamanan lainnya dengan kerangka kerja Winsock. Sebelum Windows Vista, pada Windows Server 2003 dan Windows XP, IPsec telah dikonfigurasi oleh administrator melalui kebijakan lokal dan domain. Pada Windows Vista, ekstensi soket aman memungkinkan aplikasi untuk sepenuhnya atau sebagian mengonfigurasi dan mengontrol keamanan lalu lintas jaringan mereka di tingkat soket.
Aplikasi sudah dapat mengamankan lalu lintas jaringan dengan menggunakan API publik, seperti manajemen IPsec, Platform Pemfilteran Windows, dan Antarmuka Penyedia Dukungan Keamanan (SSPI). Namun, menggunakan API ini dapat membuat aplikasi lebih sulit dikembangkan, dan mungkin membuatnya lebih sulit untuk dikonfigurasi dan disebarkan. Ekstensi soket aman Winsock telah dirancang untuk menyederhanakan pengembangan aplikasi jaringan yang memerlukan lalu lintas jaringan yang aman dengan membiarkan Winsock menangani sebagian besar kompleksitas.
Ekstensi soket aman ini tersedia di Windows Vista dan yang lebih baru.
Fungsi Soket Aman
Fungsi ekstensi soket aman adalah sebagai berikut:
- WSADeleteSocketPeerTargetName
- WSAImpersonateSocketPeer
- WSAQuerySocketSecurity
- WSARevertImpersonation
- WSASetSocketPeerTargetName
- WSASetSocketSecurity
Catatan
Fungsi soket aman saat ini hanya mendukung protokol IPsec dan tersedia di Windows Vista dan yang lebih baru.
Struktur dan enumerasi yang digunakan oleh fungsi soket aman adalah sebagai berikut:
- SOCKET_PEER_TARGET_NAME
- SOCKET_SECURITY_PROTOCOL
- SOCKET_SECURITY_QUERY_INFO
- SOCKET_SECURITY_QUERY_TEMPLATE
- SOCKET_SECURITY_SETTINGS
- SOCKET_SECURITY_SETTINGS_IPSEC
Fungsi soket aman mudah digunakan untuk aplikasi normal dan cukup fleksibel untuk aplikasi yang membutuhkan kontrol tingkat tinggi atas keamanannya. Fungsi-fungsi ini memungkinkan untuk menjaga mekanisme keamanan yang mendasar tersembunyi dari aplikasi. Aplikasi dapat menentukan persyaratan keamanan generik dan membiarkan administrator mengontrol protokol keamanan yang digunakan untuk mendukung persyaratan. Meskipun dimungkinkan untuk memperluas fungsi-fungsi ini untuk menambahkan protokol keamanan lainnya, saat ini hanya IPsec yang terintegrasi dengan fungsi soket aman.
Fungsi WSASetSocketSecurity memungkinkan aplikasi mengaktifkan keamanan dan menerapkan pengaturan keamanan sebelum koneksi dibuat.
Fungsi WSASetSocketPeerTargetName memungkinkan aplikasi menentukan nama target yang sesuai dengan entitas serekan. Protokol keamanan terpilih akan menggunakan informasi ini ketika mengautentikasi rekan. Fitur ini membahas kekhawatiran tentang serangan man-in-the-middle tepercaya.
Fungsi WSADeleteSocketPeerTargetName digunakan untuk menghapus nama serekan yang ditentukan sebelumnya untuk soket.
Setelah koneksi dibuat, fungsi WSAQuerySocketSecurity memungkinkan aplikasi untuk mengkueri properti keamanan koneksi, yang dapat menyertakan akses serekan atau token akses komputer.
Setelah koneksi dibuat, fungsi WSAImpersonateSocketPeer memungkinkan aplikasi untuk meniru prinsip keamanan yang sesuai dengan peer soket untuk melakukan otorisasi tingkat aplikasi.
WSARevertImpersonation memungkinkan aplikasi untuk mengakhiri peniruan peering soket.
Arsitektur Soket Aman
- Aplikasi memanggil fungsi soket aman untuk mengatur atau mengkueri pengaturan keamanan untuk soket.
- Fungsi soket aman adalah sekumpulan fungsi ekstensi jenis aman yang membungkus panggilan ke fungsi WSAIoctl menggunakan nilai yang baru ditentukan untuk parameter dwIoControlCode yang tersedia di Windows Vista dan yang lebih baru. IOCTL ini ditangani oleh tumpukan jaringan.
- Tumpukan jaringan akan mengarahkan panggilan ke Application Layer Enforcement (ALE) bersama dengan handel titik akhir. Untuk fungsi WSADeleteSocketPeerTargetName, WSASetSocketPeerTargetName, dan WSASetSocketSecurity , ALE akan mengonfigurasi pengaturan aplikasi pada titik akhir lokal. Untuk fungsi WSAQuerySocketSecurity , ALE akan membaca informasi yang diminta dari titik akhir lokal dan jarak jauh yang berlaku.
- Berdasarkan peristiwa soket, Application Layer Enforcement (ALE) memberlakukan kebijakan untuk arsitektur soket aman menggunakan Platform Pemfilteran Windows. Untuk informasi selengkapnya, lihat Tentang Platform Pemfilteran Windows dan Penerapan Lapisan Aplikasi (ALE).
Topik terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk