Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Информационная безопасность Защита сети от неуправляемых клиентов RSS

Защита сети от неуправляемых клиентов

Текущий рейтинг: 3.71 (проголосовало 14)
 Посетителей: 10576 | Просмотров: 24498 (сегодня 0)  Шрифт: - +

Сведения об IPsec

IPsec является стандартом безопасности протокола Интернета, который обеспечивает общий механизм безопасности на уровне IP на основе политик, что идеально подходит для выполнения проверки подлинности между узлами. Политики IPsec определяются как правила и параметры безопасности, управляющие потоком входящего и исходящего трафика на компьютере. Эти политики централизованно управляются в Active Directory с помощью объектов групповой политики (GPO), используемых для назначения политики членам домена. Они обеспечивают возможность установления безопасных каналов связи между членами домена, что является основой этого решения.

IPsec использует протокол IKE для согласования параметров между двумя узлами для определения способа безопасного взаимодействия с помощью IPsec. Соглашения, установленные между двумя узлами, и различные параметры, определяющие метод согласования, называются сопоставлениями безопасности (SA). Microsoft Windows может использовать один из трех указанных ниже методов протокола IKE.

Протокол проверки подлинности Kerberos версии 5.

Цифровые сертификаты X.509 с соответствующими парами ключей RSA.

Предварительные ключи с использованием идентификационных фраз.

Примечание.   Хотя в качестве метода проверки подлинности можно использовать инфраструктуру открытых ключей (PKI), этот подход не рекомендуется использовать ввиду интеграции проверки подлинности домена Windows 2000 (Kerberos) в протокол согласования IKE.

Согласование протокола IKE в Windows можно настроить таким образом, чтобы разрешить взаимодействие с компьютерами, которые не отвечают на запрос согласования протокола IKE. Эта функция называется переходом на небезопасное соединение. Она играет важную роль в процессе развертывания, а также полезна в вышеупомянутом контексте, поскольку позволяет компьютерам, входящим в пограничную группу, взаимодействовать с членами изолированной сети. Любое взаимодействие, которое IPsec не может защитить, относится к мягкому сопоставлению безопасности и записывается в журнал безопасности как событие успешного аудита.

Помимо проверки подлинности IPsec может выполнять другие полезные функции, включая возможности поддержания целостности и шифрования сетевого трафика с использованием параметров заголовков проверки подлинности (AH) и безопасного закрытия содержания (ESP). Хотя заголовки проверки подлинности (AH) можно использовать для того, чтобы гарантировать, что пакет не был изменен при передаче, использование заголовков для выполнения этой задачи приводит к несовместимости с трансляцией сетевых адресов (NAT). Протокол ESP, который обычно применяется для шифрования трафика, можно использовать в режиме нулевого шифрования (ESP/null), что обеспечивает проверку целостности данных, совместимую с NAT.

IPsec также может работать в двух различных режимах, режиме передачи и туннелирования. Режим передачи IPsec является рекомендованным методом обеспечения безопасности трафика между двумя узлами. В этом режиме после исходного заголовка IP просто вставляется еще один заголовок, а оставшаяся часть пакета шифруется с помощью AH или ESP. Режим туннелирования обычно используется для создания VPN-туннелей между шлюзами, при котором исходные пакеты и заголовки IP полностью инкапсулируются, а новый заголовок IPsec заменяет исходный заголовок IP.

Дополнительные сведения см. на странице корпорации Майкрософт «Изоляция сервера и домена» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Углубленная защита

Рис. 4. Модель углубленной защиты с логической изоляцией

Рис. 4. Модель углубленной защиты с логической изоляцией

На предыдущем рисунке показано, какое место в модели углубленной защиты занимает логическая изоляция. Хотя изоляция домена и сервера предназначена для защиты главного компьютера подобно установленному на компьютере брандмауэру, сферой ее действия являются сетевые взаимодействия с использованием IPsec. Хотя это решение охватывает промежуток между узлом и внутренней сетью, оно не расположено в пределах какого-либо одного комплекса, поскольку является решением «логической изоляции». Следовательно, перечисленные ниже функции не входят в область действия этого решения.

Логическая изоляция не может защищать сетевые устройства, такие как маршрутизаторы.

Логическая изоляция не может защищать сетевые соединения, как это делают 802.11i WPA для шифрования беспроводных соединений и 802.1x EAP-TLS для контроля беспроводного доступа.

Логическая изоляция не может обеспечить безопасность всех узлов в сети, поскольку она распространяется только на компьютеры, которые имеют учетные данные надежного компьютера и подчиняются политике IPsec на основе доменов.

В отличие от протоколов HTTPS и SSL для веб-приложений логическая изоляция плохо приспособлена для обеспечения безопасности путей уровня приложений и не имеет автоматически настраиваемого метода для выполнения этой задачи.

Важно понимать и принимать во внимание роль, которую логическая изоляция играет в комплексном решении углубленной защиты. Само по себе это решение не может обеспечить безопасность всех аспектов инфраструктуры компании среднего размера. Однако при использовании в качестве составной части комплексного решения она может играть очень важную роль.

Использование служб карантина VPN для защиты от неуправляемых удаленных компьютеров

Удаленные компьютеры, использующие VPN для доступа к сети компании, создают ряд уникальных проблем с точки зрения политики безопасности. Большинство решений для удаленного доступа проверяют только учетные данные удаленного пользователя и не проверяют соответствие удаленного компьютера политикам безопасности. Такой подход к проверке представляет проблему, поскольку он потенциально сводит на нет усилия по защите сети от угроз, связанных с такими проблемами, как устаревшие файлы сигнатур для борьбы с вредоносными программами, устаревшие уровни обновления для системы безопасности, неправильные параметры маршрутизации и отсутствие адекватной защиты с помощью брандмауэра.

Карантинный контроль доступа к сети на основе Microsoft Windows Server 2003 помогает устранить эту проблему путем задержки удаленного доступа к VPN до тех пор, пока состояние конфигурации подключающегося компьютера не будет проверено на соответствие текущим стандартам политики безопасности.

Сведения о службах карантина VPN

Карантинный контроль доступа к сети — это функция, предоставляемая семейством ОС Windows Server 2003, которая задерживает запуск служб удаленного доступа, пока подключающиеся удаленные компьютеры не будут изучены и проверены сценарием, настроенным администратором. Обычно при инициализации удаленного сеанса пользователь проходит проверку подлинности, а удаленному компьютеру предоставляется IP-адрес, но на этом этапе подключение переводится в режим карантина, при котором доступ к сети ограничен до тех пор, пока на удаленном компьютере не будет выполнен сценарий, предоставленный администратором. После выполнения сценария и получения сервером удаленного доступа уведомления о том, что удаленный компьютер соответствует настроенным сетевым политикам, режим карантина прекращается, а удаленному компьютеру предоставляется доступ к сети.

Пока удаленное подключение находится в режиме карантина, на это подключение могут быть наложены указанные ниже ограничения.

Для ограничения типа трафика, который клиент может отправлять или получать, можно настроить набор фильтров пакетов карантина.

Для ограничения времени, в течение которого клиент остается подключенным, находясь в режиме карантина, можно настроить таймер сеанса карантина.

Карантинный контроль доступа к сети можно использовать как часть комплексного решения по обеспечению безопасности, способствующую реализации политик безопасности и гарантирующую, что ненадежные компьютеры не смогут подключиться к надежной сети. Тем не менее, само по себе это решение не относится к средствам защиты и не позволяет предотвратить подключения пользователей-злоумышленников, получивших допустимый набор учетных данных.

Примечание.   Карантинный контроль доступа к сети — это не то же самое, что и защита доступа к сети (NAP), новая платформа реализации политик, которая будет включена в новое семейство ОС Windows Server Longhorn. Дополнительные сведения о NAP см. в Приложении A «Защита доступа к сети» в конце этого документа.

Компоненты карантинного контроля доступа к сети

Рис. 5. Компоненты карантинного контроля доступа к сети Windows

Рис. 5. Компоненты карантинного контроля доступа к сети Windows

На рисунке выше показаны типичные компоненты решения удаленного доступа Windows, в котором используется карантинный контроль доступа к сети. Ниже перечислены некоторые из этих компонентов.

Клиент удаленного доступа, поддерживающий карантин. Этот компонент представляет собой компьютер с версией Windows, поддерживающей профили диспетчера подключений, создаваемые с помощью пакета администрирования диспетчера подключений (CMAK), который поставляется совместно с Windows Server 2003. Поддерживается в версиях Windows, начиная с Windows 98 Second Edition. На этих клиентских компьютерах должен быть установлен компонент уведомлений, сценарий требований сетевой политики, и они должны быть настроены для запуска сценария после подключения.

Сервер удаленного доступа, поддерживающий карантин. Этот компонент представляет собой компьютер с Windows Server 2003 с запущенной службой маршрутизации и удаленного доступа, поддерживающий использование компонента прослушивания и атрибуты поставщика RADIUS (VSA) MS-Quarantine-IPFilter и MS-Quarantine-Session-Timeout наряду с установленным компонентом прослушивания.

Сервер RADIUS, поддерживающий карантин. Этот компонент не является обязательным и используется при настроенной на сервере удаленного доступа с Windows Server 2003 и IAS проверке подлинности RADIUS для поддержки атрибутов поставщика RADIUS MS-Quarantine-IPFilter и MS-Quarantine-Session-Timeout.

Ресурсы карантина. Эти компоненты представляют собой серверы и службы, к которым удаленный клиент может получить доступ, находясь в режиме карантина. Обычно они состоят из серверов, предоставляющих услуги DNS, профилей диспетчера подключений или поставщиков обновлений системы безопасности, предназначенных для приведения клиентов в соответствие с требованиями.

База данных учетных записей. Обычно этот компонент представляет собой домен Active Directory, в котором хранится учетная запись удаленного пользователя и размещены свойства доступа по коммутируемым линиям.

Политика карантина удаленного доступа. Эта политика необходима для обеспечения необходимых условий для работы подключений удаленного доступа и указания атрибутов MS-Quarantine-IPFilter или MS-Quarantine-Session-Timeout.

Углубленная защита

Рис. 6. Углубленная защита и карантинный контроль доступа к сети

Рис. 6. Углубленная защита и карантинный контроль доступа к сети

Как показано на этой адаптированной модели углубленной защиты корпорации Майкрософт, карантин VPN охватывает три уровня модели: узел, внутреннюю сеть и периметр сети. Хотя это решение не обеспечивает безопасность клиента напрямую, оно помогает защитить серверы от угроз, связанных с удаленными клиентами, которые не соответствуют рекомендациям по безопасности. Это решение также косвенным образом защищает удаленные клиенты, обеспечивая их соответствие требованиям политики для эффективной работы и поощряя, таким образом, поддержку обновлений в актуальном состоянии.

Кроме того, данное решение улучшает защиту самой сети от разрушительного воздействия неправильно настроенных незаконно подключающихся удаленных компьютеров (включая распространение вредоносных программ, способное оказать пагубное влияние на производительность сети). Может показаться, что периметр сети не затрагивается этим решением, поскольку оно не защищает напрямую от атак на VPN (которая расположена именно на периметре) методом прямого подбора паролей. Однако это решение обеспечивает дополнительный уровень безопасности, с которым злоумышленнику придется столкнуться при попытке получения прямого доступа к ресурсам, расположенным во внутренней сети — даже если злоумышленнику удастся получить допустимые учетные данные для проверки подлинности.

Иcточник: Microsoft TechNet  •  Опубликована: 18.03.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.