Думаю, это выдает мой возраст, но я помню дни бета версии Windows 2000. В те времена мы использовали Windows NT 4 сети, и наслаждались преимуществами первой настоящей сетевой операционной системы производственного уровня от компании Microsoft. В те времена нам было интересно, сможет ли когда-нибудь компания Microsoft обойти компанию Novell NetWare в области серверных ОС, а Windows NT тогда поддерживала протоколы сети Novell. Конечно, была и поддержка TCP/IP, но в середине 1990-ых мы тратили большую часть времени с сетями Novell в больших компаниях и использовали NetBEUI для своих простых односегментных сетей.
Windows 2000 была большим прорывом. Сетевые протоколы были значительно усовершенствованы. Но еще больше радости доставляло то, что безопасность была значительно улучшена наряду с добавлением множества новых компонентов и функций, связанных с безопасностью. Одним из долгожданных компонентов тогда еще новой ОС была технология IPsec. Как уже говорилось ранее, IPsec была тем, что мне действительно нравится, поскольку она позволила бы нам быть уверенным в защищенности наших данных при их передаче посредством шифрования. В качестве дополнительного бонуса Windows 2000 также представила шифрованную файловую систему (Encrypting File System - EFS) для шифрования данных на диске. Это означало, что IPsec позволяла нам защищать данные во время их передачи по сети, а при хранении этих данных на диске они были защищены посредством EFS. Это казалось сбывшейся мечтой.
Однако трудности скрываются в деталях. Когда мы установили свою бета версию Windows 2000, мы обнаружили, что IPsec была крайне сложной, гораздо более сложной, чем ожидали. Но мы покупали книги и узнавали все о принципе работы IPsec: мы узнали о Encapsulating Security Payload (ESP), Authentication Header (AH), Security Associations, Quick Mode, Main Mode, материалах ключей, алгоритмах хэша и т.д. К сожалению, для большинства установок мы не могли воспользоваться этими знаниями и перенести их на громоздкий интерфейс конфигурации IPsec, включенный в Windows 2000 и перенесенный в Windows Server 2003.
Отличная новость заключается в том, что все это изменилось с выходом Windows Server 2008 и появлением брандмауэра Windows в режиме повышенной безопасности (WFAS). Интерфейс брандмауэра WFAS предоставил новый способ настройки IPsec правил, в форме правил безопасности подключений (Connection Security Rules). Когда вы создаете правила безопасности подключений, вы на самом деле настраиваете политики IPsec, которые позволяют вам контролировать шифрование и проверку подлинности трафика, передаваемого между двумя узлами. Правила безопасности подключений гораздо более простые в настройке и для понимания по сравнению со старым способом создания IPsec правил с использованием интерфейса Windows 2000/2003.
Чтобы посмотреть, насколько просто создавать правила безопасности подключений, давайте рассмотрим пример. В этом примере мы рассмотрим еще одну функцию, включенную в Windows Server 2008 и перенесенную в Windows Server 2008 R2: это возможность настраивать правила безопасности подключений в групповой политике. Оснастка WFAS в групповой политике позволяет настраивать правила безопасности подключений и упрощает их развертывание в организации, а это обеспечивает гораздо большую масштабность по сравнению со старым способом, когда нужно было запускать IPsec мастер на каждой машине в организации, на которой вы хотели развернуть IPsec.
Чтобы посмотреть, как это работает, мы переходим на контроллер домена и открываем редактор управления групповой политикой (Group Policy Management). В этом редакторе нажимаем правой клавишей на Стандартной политике домена (Default Domain Policy) и выбираем Изменить (Edit), как показано на рисунке 1 ниже.
Рисунок 1
В левой панели консоли переходим в раздел Конфигурация компьютера (Computer Configuration)\Политики (Policies)\Параметры Windows (Windows Settings)\Параметры безопасности (Security Settings)\Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security)\ Брандмауэр Windows в режиме повышенной безопасности – LDAP (Windows Firewall with Advanced Security ' LDAP)\Правила безопасности подключений (Connection Security Rules). Это показано на рисунке 2.
Рисунок 2
Теперь нажимаем правой клавишей на Правилах безопасности подключений (Connection Security Rules) и выбираем Создать новое правило (New Rule). Это откроет страницу Тип правила (Rule Type) мастера создания нового правила безопасности подключений (New Connection Security Rule Wizard), рисунок 3. Как вы видите, здесь есть достаточно большое количество опций. В этом примере мы создадим правило безопасности подключений типа Server-to-Server. Это правило включит IPsec безопасность между двумя машинами в моей тестовой сети. Выбираем опцию Server-to-server и нажимаем Далее.
Рисунок 3
На странице Конечные точки (Endpoints), рисунок 4, мы указываем конечные точки, к которым будет применяться это правило. В данном примере у нас есть сервер с именем APP1, и мы хотим обеспечить защиту всех подключений к APP1 посредством IPsec. Для компьютера Endpoint 1 нажимаем кнопку Добавить (Add).
В диалоге IP адрес, рисунок 5, выбираем опцию Этот IP адрес или подсеть (This IP address or subnet) и вводим IP адрес компьютера APP1. Затем нажимаем OK.
Рисунок 5
Теперь настраиваем Endpoint 2, как любой компьютер. Выбираем Эти IP адреса (These IP addresses) для Endpoint 2 и нажимаем Добавить. В диалоге IP адреса, рисунок 6, выбираем опцию Этот IP адрес или подсеть и вводим 10.0.0.0/24, а затем нажимаем OK.
Теперь мы знаем, что на странице Endpoints, рисунок 7, можно указывать конечные точки для IPsec подключений. Это правило будет применяться ко всем конечным точкам, подключающимся к APP1. Нажимаем Далее.
Прежде чем перейти со страницы Endpoints, обратите внимание на кнопку Настроить (Customize). Если нажать на эту кнопку, вы увидите диалог настройки типов интерфейсов (Customize Interface Types), показанный на рисунке 8. По умолчанию это правило будет применяться ко всем интерфейсам, но если вы хотите ограничить типы интерфейсов, к которым это правило будет применяться, вы можете изменить опцию Все типы интерфейсов (All interface types) на опцию Эти типы интерфейсов (These interface types). Мы используем значение по умолчанию, поэтому здесь ничего не меняем.
Рисунок 8
На странице Требования (Requirements), рисунок 9, можно указать, какой тип проверки подлинности нужно использовать. В этом примере мы выберем опцию Требовать проверку подлинности для входящих подключений и запрашивать проверку подлинности для исходящих подключений (Require authentication for inbound connections and request authentication for outbound connections). Когда мы это делаем, при каждом взаимодействии узлов конченых точек 1 и 2 будет запрос проверки подлинности, когда компьютер отправляет исходящий запрос, и проверка подлинности будет требоваться при входящем запросе. Это означает, что всякий раз, когда компьютер пытается подключиться к APP1, проверка подлинности будет требоваться для входящих подключений к APP1. Это может быть немного сложным, но если подумать, то все становится понятно. Это также означает, что все другие компьютеры, при попытке подключения к APP1, будут запрашивать проверку подлинности от APP1, но в этих случаях она будет необязательной. Нас интересуют входящие подключения к APP1, и это правило может обязать APP1 требовать проверку подлинности при входящих подключениях.
На странице Способ проверки подлинности (Authentication Method), рисунок 10, нужно выбрать способ проверки подлинности. По умолчанию (которое мы используем) будет стоять значение Сертификат компьютера (Computer Certificate). Стандартным Алгоритмом подписи (Signing Algorithm) является RSA (по умолчанию) и стандартной опцией Тип хранилища сертификата (Certificate Store type) будет корневой ЦС (Root CA (default)). Нажмите кнопку Обзор (Browse), чтобы найти сертификат корневого ЦС, используемый в вашей организации.
В диалоге Windows Security, рисунок 11, вы увидите список сертификатов. Корневым ЦС в моей тестовой среде будет corp-DC1-CA, поэтому я выбираю его и нажимаю OK.
Теперь на странице Способ проверки подлинности, рисунок 12, видно, что мы используем сертификат компьютера для проверки подлинности и что мы доверяем сертификатам, выданным ЦС, который указан в CA name текстовом поле. Нажимаем Далее.
На странице Профиль (Profile), рисунок 13, выбираем профиль WFAS, который будет применен к этому правилу безопасности подключений. Поскольку он применяется только к машинам, которые подключены к домену, мы будем использовать профиль Domain, и уберем флажки с остальных профилей. Это избавит нас от проблем, если члены домена подключены к другим сетям, которые используют те же пространства частных имен и те же IP адреса.
На странице Имя (Name), рисунок 14, вводим имя правила и нажимаем Завершить.
Правило, показанное на рисунке 15, теперь создано в групповой политике, и будет автоматически развернуто на всех членах домена. Если дважды нажать на правиле в редакторе групповой политики, вы увидите диалог для этого правила, в котором можно вносить изменения. Просто перейдите в соответствующую закладку и внесите нужные изменения, после чего правило будет обновлено на всех машинах, к которым применяется данная групповая политика.
Рисунок 15
Вы, возможно, заметили, что не было опций настройки параметров IPsec в этом правиле. Причина заключается в том, что параметры IPsec настраиваются глобально, что не очень удобно, но в компании Microsoft решили сделать именно так. Если вы хотите посмотреть IPsec параметры, вам нужно нажать правой клавишей в разделе Брандмауэр Windows в режиме повышенной безопасности, как показано на рисунке 16 ниже, и выбрать Свойства.
Рисунок 16
Это вызовет диалог брандмауэра, как показано на рисунке 17. Если вы нажмете на закладке Параметры IP (IP Settings) в этом диалоге, вы увидите раздел умолчаний IPsec defaults. Также обратите внимание, что здесь есть разделы исключений (IPsec exemptions) и авторизации туннелей (IPsec tunnel authorization). Если нажать кнопку Настроить (Customize) в разделе IPsec defaults, вы увидите, что опции Key exchange (Main Mode), Data protection (Quick Mode) и Authentication method все установлены на значения по умолчанию (Default).
Рисунок 17
В таблице ниже показаны параметры по умолчанию для IPsec:
Обмен ключами (Key exchange)
Параметры (Settings) | Значение (Value) |
Время жизни ключей (Key lifetimes) | 480 minutes/0 sessions* |
Алгоритм обмена ключами (Key exchange algorithm) | Diffie-Hellman Group 2 |
Способы безопасности (целостность) (Security methods (integrity)) | SHA1 |
Способы безопасности (шифрование) (Security methods (encryption)) | AES-128 (основной)/3-DES (вспомогательный) |
*Нулевое ограничение сеанса (0) заставляет выполнять повторное определение ключей только параметром времени жизни ключей (Key lifetime (minutes)).
Целостность данных (Data integrity)
Параметр (Setting) | Значение (Value) |
Протокол (Protocol) | ESP (основной)/AH (вспомогательный) |
Целостность данных (Data integrity) | SHA1 |
Время жизни ключей (Key lifetimes) | 60 минут /100,000 килобайт (KB) |
Шифрование данных
Параметр | Значение |
Протокол | ESP |
Целостность данных | SHA1 |
Шифрование данных | AES-128 (основной)/3-DES (вспомогательный) |
Время жизни ключей | 60 минут/100,000 KB |
Способ проверки подлинности
Проверка подлинности Computer Kerberos версии 5 является способом аутентификации по умолчанию.
Когда мы переходим на компьютер домена, который подключается к APP1, и открываем консоль WFAS, мы видим новое правило безопасности подключений в разделе Connection Security Rules, как показано на рисунке 18. Обратите внимание, что это просто список правил; он не говорит о том, что правило активно. Он просто указывает на то, что правило доступно для компьютера.
Если перейти в раздел Наблюдение \Правила безопасности подключений, вы увидите все активные правила безопасности подключений. В этом случае мы видим, что есть активное правило безопасности подключений, указывающее на то, что наше IPsec подключение работает! Если мы дважды нажмем на активном правиле, мы увидим детали подключения, как показано на рисунке 19 ниже.
Теперь переходим в раздел Наблюдение (Monitoring)\Сопоставления безопасности (Security Associations)\Основной режим (Main Mode) в левой панели консоли WFAS. Здесь мы видим информацию о подключении Main Mode, включая информацию о способе проверки подлинности, а также алгоритмах шифрования и целостности, как показано на рисунке 20. Если сравнить эту информацию с таблицей выше, вы увидите, что она совпадает со стандартными значениями, указанными в той таблице.
Рисунок 20
Вы также можете посмотреть подробную информацию о подключении Quick Mode, если нажмете на раздел Quick Mode в левой панели консоли, как показано на рисунке 21.
Заключение
В этой статье мы рассмотрели некоторые основы нового мастера правил безопасности подключений IPsec и увидели, насколько просто заставить работать эти правила. В следующей части этого цикла я покажу вам, как создавать правила IPsec туннеля и как настраивать машину Windows Server 2008 R2 в качестве IPsec шлюза ' то, что может вас заинтересовать, если вы задумываетесь о способе создания безопасных сегментов в своей сете или вас интересуют решения удаленного доступа.