Протокол IPSec (Internet Protocol Security) обеспечивает прозрачную для приложений и пользователей защищенную передачу данных в IP-сетях с использованием служб шифрования, а также защиту сетевого доступа в окружении Windows 2000.
Основное внимание в руководстве уделено скорейшему способу организации защищенной передачи данных между сервером и клиентом посредством IPSec. В этом руководстве показано, как с использованием политик IPSec по умолчанию обеспечить защиту передаваемых между двумя компьютерами данных, работающими под управлением ОС семейства Windows 2000 и находящихся в составе домена Windows 2000. С данным руководством в течение 30 минут Вы сможете ознакомиться с IPSec-политиками по умолчанию, для того чтобы выполнить процедуры, описанные в первой части данного руководства, Вам потребуется два компьютера принадлежащих домену. В примечаниях указано, как обеспечить взаимодействие с сервером клиентов, не поддерживающих IPSec. Далее во второй части руководства на примере пошаговых процедур объясняется, как использовать сертификаты, а также то, как построить свою собственную политику для проверки возможности взаимодействия или демонстрации IPSec в отсутствии домена Windows 2000.
На этой странице
Введение
Используя протокол IPSec, Вы можете обеспечить конфиденциальность, целостность, подлинность и защиту данных от перехвата при передаче в сети с использованием следующих режимов:
• | Транспортный режим IPSec обеспечивает защиту соединений клиент-сервер, сервер-сервер и клиент-клиент. |
• | Туннельный режим IPSec с использованием протокола L2TP обеспечивают безопасный удаленный доступ клиенту через Интернет. |
IPSec обеспечивает следующие типы защищенных соединений:
• | подключения типа шлюз-шлюз через глобальную сеть (WAN); |
• | подключения через Интернет с использованием туннелей L2TP/IPSec; |
• | подключения через Интернет с использованием туннельного режима IPSec. |
Туннельный режим IPSec не предназначен для организации удаленного доступа в виртуальных частных сетях VPN. Операционная система Windows 2000 Server упрощает развертывание и управление сетевой безопасностью с помощью компонента Windows 2000 IP Security, который является рабочей реализацией IPSec. Для протокола IPSec, разработанного группой IETF в качестве архитектуры безопасности для IP-протокола, определен формат IP-пакетов и соответствующая инфраструктура для обеспечения надежной аутентификации, целостности и (опционально) конфиденциальности при передаче данных по сетям. Согласование безопасности и служба управления автоматическими ключами также обеспечивается благодаря возможностям обмена ключей в Интернете (Internet Key Exchange, IKE), определенного IETF в документе RFC 2409. Протокол IPSec и связанные службы, входящие в состав семейства ОС Windows 2000, разработаны совместно корпорациями Microsoft и Cisco Systems Inc.
Безопасность IP в Windows 2000 обеспечивается архитектурой IPSec, предложенной IETF, с возможностью интеграции в доменах Windows со службой каталогов Active Directory. Служба каталогов Active Directory позволяет организовать управление сетью на основе политик, что дает возможность использовать групповую политику для назначения и распространения IPSec-политики на членов домена Windows 2000.
Реализация IKE обеспечивает три метода аутентификации, определенных стандартами IETF с целью установления доверительных отношений между компьютерами:
• | Аутентификация Kerberos v5.0, предоставляемая инфраструктурой домена на основе Windows 2000, используется для осуществления безопасного взаимодействиями между компьютерами из одного домена, а так же из различных доменов, между которыми установлены доверительные отношения. |
• | Подписи открытого/закрытого ключа, использующие сертификаты, совместимые с системами сертификатов различных производителей, таких как Microsoft, Entrust, VeriSign и Netscape. |
• | Пароли, называемые предварительными ключами аутентификации (pre-shared authentication keys), используются строго для установления доверительных отношений, но не для защиты пакетов данных приложений. |
Как только компьютеры аутентифицировали друг друга, ими генерируется множество ключей для шифрования пакетов данных приложений. Эти ключи, известные только двумя компьютерами, обеспечивают защиту данных от модификации, а также от анализа данных злоумышленниками, возможно, находящимися в сети. Каждый из этих компьютеров использует IKE для согласования типа и размера используемого ключа, а также других параметров безопасности, используемой для защиты потоков данных приложений. Для обеспечения постоянной защиты эти ключи автоматически обновляются в соответствии с настройками политики IPSec, контролируемой администратором.
Варианты использования IPSec
Протокол IPSec в Windows 2000 разработан таким образом, что при его внедрении сетевыми администраторами обеспечивается прозрачная для пользователей и приложений защита данных. В любом случае наиболее простым способом реализации безопасности доверительных доменных отношений является использование аутентификации Kerberos. Сертификаты или предварительные ключи могут быть использованы при отсутствии доверительных доменных отношений или при использовании средств межсетевого взаимодействия сторонних производителей. Вы можете использовать групповую политику IPSec для распространения конфигурации протокола IPSec на множество клиентов и серверов.
Безопасность серверов
В зависимости от того, как администратор конфигурирует сервер, безопасность IPSec для всей одноадресной передачи данных может быть либо запрашиваемой, но не обязательной, либо требуемой. При использовании этой модели, для ответов на запросы безопасности от серверов, клиентам достаточно применения политики по умолчанию. После того, как будут выполнены сопоставления безопасности IPSec (по одному в каждом из направлений) и установлено соединение между сервером и клиентом, это соединение будет оставаться активным еще в течение одного часа после того, как между ними был передан последний пакет данных.
По истечении этого часа клиентом аннулируется сопоставление безопасности, и он возвращается в изначальное состояние «только ответ». Если впоследствии клиент снова отправит пакеты открытым текстом на тот же сервер, то сервер восстановит безопасное подключение IPSec. Этот простейший способ обеспечивает безопасность, если начальные пакеты, отправляемые приложением на сервер, не содержат конфиденциальных данных и если политикой сервера разрешен прием незащищенных пакетов, отправляемых клиентами открытым текстом.
Предупреждение. Такая конфигурация подходит только для серверов, расположенных во внутренней сети, поскольку серверу, сконфигурированному политикой IPSec, разрешено принимать незащищенные пакеты, отправленные открытым текстом. Если сервер подключен к сети Интернет, то такая конфигурация использоваться не должна, поскольку в этом случае он не будет защищен от возможных атак на службу, отвечающую за возможность приема незащищенных пакетов (DoS атаки).
Изолированные серверы
Если сервер напрямую доступен из Интернета или если все пакеты, отправляемые клиентом, содержат конфиденциальные данные, то на клиенте должна быть применена политика IPSec, в соответствии с которой необходимо использовать IPSec при попытках отправки данных на сервер. В данном руководстве не будет рассмотрена такая конфигурация, но Вы можете ее создать, выполнив процедуры, описанные в разделе «Конфигурирование действий фильтров IPSec».
На клиентах и серверах могут быть сконфигурированы особые правила для разрешения, блокирования или защиты только конкретных пакетов (определенных протоколом или портом). Этот способ является наиболее сложным с точки зрения конфигурирования и выявления ошибок, поскольку он требует глубоких знаний типов сетевого трафика, используемых приложениями, и административного координирования для гарантии того, что на всех клиентах и серверах применены соответствующие политики.
Наверх страницы
Предварительные условия
Это руководство организовано в форме пособия к лабораторной работе, с помощью которого сетевые и системные администраторы смогут получить знания и понимание того, как работает IPSec в среде Windows 2000. Вы можете сконфигурировать политику IPSec локально на каждом компьютере, а затем внедрить и протестировать эту политику в сети, чтобы убедиться в защите сетевых коммуникаций. Для выполнения процедур, описанных в данном руководстве, Вам потребуется следующее:
• | Два компьютера, работающих под управлением ОС Windows 2000. Вы будете использовать два компьютера, принадлежащих домену и работающих под управлением ОС Windows 2000 Professional, один из них будет выступать в роли клиента, а другой в качестве сервера с точки зрения IPSec, при этом компьютеры могут входить в состав одного домена, либо в разные домены, между которыми установлены доверительные междоменные отношения. |
• | Контроллер домена под управлением Windows 2000 Server. |
• | Локальная или глобальная сеть, соединяющая эти три компьютера. |
Инфраструктура, принятая в качестве основной, описана в Пошаговом руководстве по развертыванию базовой инфраструктуры Windows 2000 Server (Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment) http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx (EN).
Если Вы не используете основную инфраструктуру, Вам необходимо выполнить соответствующие изменения процедур, описанных в данном руководстве. Для выполнения действий описанных в разделе «Использование сертификатов при проверке подлинности» потребуется возможность подключения к серверу, работающему в качестве центра сертификации (ЦС). Если Вам понадобится установить сервер ЦС в Вашей сети, Вы можете воспользоваться Пошаговым руководством по настройке центра сертификации (Step by Step Guide to Setting Up a Certificate Authority) http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.aspю (EN).
Если у Вас есть сервер Kerberos v5, совместимый с MIT, и Вам необходимо проверить IPSec Windows 2000 при использовании Kerberos, Вы можете воспользоваться Пошаговым руководством по взаимодействию с Kerberos v5 (Step-by-Step Guide to Kerberos 5 Interoperability) http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp (EN).
В этом случае в Вашем распоряжении должны быть два компьютера, принадлежащих домену, поскольку аутентификация Kerberos обеспечивается контроллером домена. Также Вы можете использовать IPSec и на компьютерах, не принадлежащих домену. Для этого обратитесь к разделу, посвященному созданию пользовательской политики.
После выполнения процедур, описанных в данном руководстве, Вы будете иметь возможность:
• | Использовать встроенную политику IPSec. |
• | Создать свою собственную политику IPSec. |
• | Определить состояние безопасности IP. |
Необходимая информация
Вам потребуется следующая информация о компьютерах участвующих в тесте:
• | Имя компьютера (щелкните правой кнопкой мышки на значке Мой компьютер (My Computer), выберите Свойства (Properties) и перейдите на вкладку Сетевая Идентификация (Network Identification)). |
• | IP-адреса Ваших компьютеров (нажмите кнопку Пуск (Start), затем нажмите Выполнить (Run), введите cmd и нажмите OK. Введите в командной строке ipconfig и нажмите Enter. После определения IP-адресов введите exit и нажмите Enter). |
Наверх страницы
Подготовка к тестированию
Создание пользовательской консоли
Войдете в систему на первом тестовом компьютере в качестве пользователя с правами администратора. В нашем примере этот компьютер называется HQ-RES-WRK-01.
Примечание. Далее в этом документе HQ-RES-WRK-01 будет относиться к первому тестовому компьютеру, а HQ-RES-WRK-02 – ко второму. Если Ваши компьютеры имеют иные имена, то при выполнении процедур используйте их действительные имена.
Для создания пользовательской консоли MMC
1. | На рабочем столе нажмите Пуск (Start), нажмите Выполнить (Run), в поле Открыть (Open) введите mmc. Нажмите OK. |
2. | В меню Консоль (Console) нажмите Добавить или удалить оснастку (Add/Remove Snap-in). |
3. | В диалоговом окне Добавить/Удалить оснастку (Add/Remove Snap-in) нажмите Добавить (Add). |
4. | В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) выберите Управление компьютером (Computer Management) и затем нажмите Добавить (Add). |
5. | Убедитесь, что выбрано управление локальным компьютером (Local Computer) и нажмите Готово (Finish). |
6. | В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) выберите оснастку Групповая политика (Group Policy) и затем нажмите Добавить (Add). |
7. | Убедитесь, что в диалоговом окне Выбор объекта групповой политики (Select Group Policy Object) выбрано управление локальным компьютером (Local Computer), и нажмите Готово (Finish). |
8. | В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) выберите Сертификаты (Certificates) и затем нажмите Добавить (Add). |
9. | Выберите учетную запись компьютера (Computer Account) и нажмите Далее (Next). |
10. | Убедитесь, что выбрано управление локальным компьютером (Local Computer), и нажмите Готово (Finish). |
11. | Закройте диалоговое окно Добавить изолированную оснастку (Add Standalone Snap-in), нажав кнопку Закрыть (Close). |
12. | Закройте диалоговое окно Добавить/удалить оснастку (Add/Remove Snap-in) нажав OK. |
Активирование политик аудита для Вашего компьютера
В следующей процедуре Вы будете настраивать аудит событий, которые будут регистрироваться при коммуникациях с использованием IPSec. Позднее это окажется полезным при подтверждении того, что IPSec работает корректно.
Чтобы активировать политику аудита
1. | В консоли MMC выберите Политика «Локальный компьютер» (Local Computer Policy) на левой панели и раскройте дерево, нажав [+]. Найдите узел Политика аудита (Audit Policy), для чего поочередно раскройте следующие узлы: Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings), Параметры безопасности (Security Settings) и затем Локальные политики (Local Policies). Рисунок 1 - Расположение узла Политика аудита (Audit Policy) в консоли MMC |
2. | В списке политик, отображенном на правой панели, дважды щелкните Аудит входа в систему (Audit Logon Events), в результате чего отобразится диалоговое окно Аудит входа в систему (Audit Logon Events). |
3. | В диалоговом окне Аудит входа в систему (Audit Logon Events) для регистрации успешных и неудачных попыток в секции Вести аудит следующих попыток доступа (Audit these attempts) установите флажки Успех (Success) и Отказ (Failed) и нажмите OK. |
4. | Повторите этапы 2 и 3 для политики Аудит доступа к объектам (Audit Object Access). |
Конфигурирование монитора IP-безопасности
Для контроля установленных безопасных подключений, которые будут созданы с помощью политик IPSec, используйте инструмент Монитор IP-безопасности (IP Security Monitor). Перед созданием любых политик, в первую очередь, запустите и сконфигурируйте данный инструмент.
Для запуска и конфигурирования монитора IP-безопасности
1. | Для запуска инструмента Монитор IP-безопасности (IP Security Monitor) нажмите Пуск (Start), затем Выполнить (Run), в поле Open (Открыть) введите ipsecmon и нажмите OK. |
2. | В диалоговом окне монитора IP-безопасности нажмите кнопку Параметры (Options) и измените значение по умолчанию Время перепроверки (Refresh Seconds) c 15 до 1, после чего нажмите OK. |
3. | Сверните окно монитора IP-безопасности. |
Впоследствии Вы будете пользоваться этим инструментом для контроля политик при выполнении различных процедур, описанных в данном руководстве. Вернитесь в начало раздела «Создание пользовательской консоли MMC» и повторите все описанные этапы для второго компьютера (в нашем примере этот компьютер называется HQ-RES-WRK-02).
Наверх страницы