Использование проверки подлинности 802.1X для защиты от неуправляемых
клиентов беспроводных сетей
Использование стандарта IEEE 802.1X хорошо подходит для решения задачи
по защите беспроводных сетей от несанкционированного использования. Проще
говоря, пока компьютер не авторизован для взаимодействия по сети, он
просто не будет ни с кем взаимодействовать. Хотя это решение хорошо
работает в беспроводных сетях, оно неэффективно в обычных проводных сетях,
несмотря на наличие возможности использования этого стандарта подобным
образом. Ограниченная эффективность этого решения является причиной того,
что в данном руководстве рекомендуется использовать комбинированный подход
для защиты сети компании среднего размера. Используя сочетание наиболее
эффективных решений, охватывающих каждый аспект типичной сети компании,
можно реализовать надежное решение по углубленной защите.
Сведения о проверке подлинности IEEE 802.1X
Проверка подлинности IEEE 802.1X представляет собой механизм контроля
доступа на основе портов, который можно настроить на выполнение взаимной
проверки подлинности между клиентами и сетью. После реализации такой
настройки любое устройство, которому не удалось пройти проверку
подлинности, не сможет участвовать ни в каком взаимодействии с выбранной
сетью.
Стандарт 802.1X поддерживает расширяемый протокол проверки подлинности
(EAP), который имеет ряд версий. В современных версиях Microsoft Windows
имеется встроенная поддержка трех из них.
• |
EAP-MD5. В версии MD5 сервер проверки подлинности
отправляет клиенту (запрашивающему устройству) вызов, а
запрашивающее устройство объединяет этот запрос вызова с собственным
идентификатором или парольной фразой. Этот отклик преобразуется в
хэш MD5 и отправляется обратно на сервер проверки подлинности,
который расшифровывает и сопоставляет отклик с исходным вызовом.
Если отклик соответствует вызову, значит, проверка подлинности
прошла успешно. Этот метод не является безопасным в большинстве
реализаций, поскольку отправляется сам пароль, который могут
перехватить и расшифровать посторонние лица. |
• |
Защищенный EAP. В защищенном EAP (PEAP) для взаимной
проверки подлинности используется сертификат на стороне сервера и
сведения о проверке подлинности, полученные от клиента (например имя
пользователя и пароль). В реализации этого стандарта, выполненной
корпорацией Майкрософт, используется протокол проверки пароля
MS-CHAP версии 2, проверка подлинности в котором основывается на
традиционных сведениях об учетной записи домена и пароле и
использовании сервера RADIUS. Этот метод обычно считается достаточно
безопасным в небольших компаниях, которые не могут позволить себе
дополнительные затраты на администрирование и создание
инфраструктуры, необходимые при использовании метода
EAP-TLS. |
• |
EAP-TLS. При использовании этого метода сервер проверки
подлинности устанавливает с соискателем сеанс TLS с последующей
отправкой клиенту цифрового сертификата. Запрашивающее устройство
проверяет при получении этот сертификат, а затем отправляет в ответ
свой собственный сертификат, который, в свою очередь, проверяется
сервером проверки подлинности. Если каждая из сторон доверяет
сертификату другой стороны, значит, проверка подлинности прошла
успешно. Этот подход наилучшим образом подходит для сетей, которые
могут поддерживать инфраструктуру открытых ключей и серверы проверки
подлинности RADIUS. Это также наиболее безопасный из доступных
вариантов для беспроводных сетей, особенно в сочетании с
использованием стандарта 802.11i WPA2. |
Перед тем как клиент пройдет проверку подлинности, он должен
воспользоваться устройством проверки подлинности (беспроводной точкой
доступа или сетевым коммутатором), пока его подлинность не будет проверена
сервером проверки подлинности. Таким образом, в процессе первоначального
приветствия проверки подлинности все взаимодействие между соискателем и
сервером проверки подлинности осуществляется через устройство проверки
подлинности. После завершения проверки подлинности соискатель может
получить доступ к сети напрямую.
Причины неэффективности 802.1X для проводных сетей
Хотя использование стандарта 802.1X обычно помогает решить вопрос с
безопасностью беспроводных сетей, имеются некоторые проблемы с внедрением
этого метода для обеспечения безопасности проводных сетей. Первая проблема
заключается в том, что, хотя в 802.1X имеется несколько объектов групповой
политики Active Directory, которые поддерживают его реализацию в
беспроводных сетях, проверка подлинности 802.1X в проводных сетях не
поддерживается. Таким образом, подобное использование 802.1X потребует
значительных накладных расходов на управление. Кроме того, многие
коммутаторы, сетевые принтеры и иные устройства инфраструктуры проводной
сети не поддерживают стандарт 802.1X, поэтому весьма вероятно, что для
поддержки подобной реализации в большинстве сетей компаний среднего
размера потребуется дорогостоящее обновление.
Помимо затрат на администрирование и инфраструктуру, связанных с
подобной реализацией, при использовании этого стандарта, предназначенного
для беспроводных сетей, в проводных сетях появляются некоторые уязвимости
в защите. Например, поскольку проверка подлинности 802.1X происходит
только при установлении подключения, а концентраторы невидимы для 802.1X,
злоумышленнику достаточно будет лишь подключить к внутренней сети
концентратор наряду с прошедшим проверку компьютером и «теневым»
компьютером, предназначенным для проведения атаки.
Примечание. Эти недостатки и уязвимости не
проявляются в беспроводных сетях. Данные проблемы с безопасностью 802.1X
имеют место только при использовании этого стандарта в проводных
сетях.
В связи с этими проблемами для изоляции домена и сервера рекомендуется
использовать протокол IPsec, а не 802.1X. Однако эта рекомендация не
означает, что для 802.1X нет места в сети компании среднего размера. Как
было сказано ранее, 802.1X является ценным средством, помогающим устранить
проблемы с безопасностью беспроводных сетей, а в сочетании с решением по
изоляции сети на основе IPsec становится еще более безопасным.
Углубленная защита
Рис. 7. Углубленная защита с использованием
802.1X для безопасности беспроводной сети
Как видно на приведенном выше рисунке, безопасность беспроводной сети с
использованием проверки подлинности 802.1X занимает в модели углубленной
защиты сетевой уровень. Хотя может показаться, что безопасность
беспроводной сети может также охватить периметр, беспроводная сеть
фактически является частью локальной сети, в то время как периметр имеет
дело в основном с внешними сетями, такими как Интернет. Некоторые
составляющие методов безопасности беспроводной сети содержат компоненты
для узлов, однако системы безопасности беспроводной сети не предназначены
для непосредственной защиты узла.
Использование SMS-сервера для обнаружения и устранения уязвимостей
неуправляемых компьютеров
Сервер Microsoft Systems Management Server (SMS) 2003 часто
используется для управления компьютерами в сети, работы с данными о
движении активов, а также распространения программного обеспечения и
обновлений для поддержки соответствия политикам безопасности и поддержания
единообразия платформ и установленного программного обеспечения. Функции
сетевого обнаружения и инвентаризации SMS 2003 входят в область
рассмотрения данного документа, поскольку они предоставляют метод,
позволяющий обнаружить ненадежные компьютеры при их подключении к сети.
Эти функции также помогают устранять уязвимости с учетом того, какие
политики реализуются в ответ на использование неуправляемого
компьютера.
В этом документе предполагается, что читатель использовал SMS-сервер и
другие методы приведения компьютеров, входящих в домен, в соответствие с
политиками безопасности, что включает установку всех обновлений
безопасности. Таким образом, вопросы управления исправлениями с
использованием SMS 2003 и других средств выходят за рамки данного
документа. Дополнительные сведения по этим темам и иные сведения,
относящиеся к SMS-серверу, см. в документе «Управление
исправлениями с помощью Systems Management Server 2003» (эта ссылка может указывать на содержимое полностью или частично на
английском языке) или на домашней странице Microsoft Systems Management Server (эта ссылка может указывать на
содержимое полностью или частично на английском языке).
Обнаружение и документирование имеющихся активов
В компаниях, уже внедривших SMS-сервер, документирование существующих
активов, вероятно, уже было завершено, а инвентаризация управляемых и
неуправляемых активов выполнена. Подобная инвентаризация должна содержать
сведения о требованиях к обновлениям безопасности и о процедурах для
компьютеров, не управляемых с помощью SMS-сервера (умышленно или
вследствие отсутствия рабочих агентов для данного типа клиента). Такие
неуправляемые компьютеры могут включать устройства по периметру
безопасности (также известному как демилитаризованная зона (DMZ) и
экранированная подсеть), тестовые компьютеры или автономные
устройства.
Важно иметь хорошо документированный список устройств, которые не
управляются с помощью SMS-сервера, не только по требованиям безопасности,
но и потому, что подобный список необходимо использовать для сравнения с
новыми сведениями инвентаризации для определения, являются ли вновь
обнаруженные компьютеры авторизованными или неизвестными. Для поддержания
таких списков в актуальном состоянии необходимо наличие процедуры
добавления новых неуправляемых компьютеров в сеть компании, содержащей не
только сведения для идентификации, но и процесс для поддержания
безопасности таких систем наряду с назначением владельцев.
Хотя SMS-серверу, возможно, не удастся собрать никакие сведения о таких
неуправляемых компьютерах за исключением IP-адреса и имени, этих сведений
самих по себе зачастую достаточно для определения того, являются ли
сетевые устройства авторизованными или нет.
Разработка
В разделе «Оценка» показано, что сочетание различных решений,
выполняющих определенные функции в сети компании среднего размера,
является наиболее полным подходом к защите такой сети. Изоляция домена и
сервера охватывает проводную сеть, гарантируя, что только известные и
управляемые компьютеры могут получить доступ к надежным ресурсам. Карантин
VPN гарантирует, что удаленные компьютеры, время от времени подключающиеся
к локальной сети, будут соответствовать политикам безопасности. Проверка
подлинности 802.1X обеспечивает безопасность беспроводной сети, позволяя
устанавливать подключения только авторизованным компьютерам. Наконец,
SMS-сервер используется для поддержания соответствия надежных компьютеров
установленным политикам и обнаружения ненадежных неконтролируемых
компьютеров при их подключении к сети. Сочетание всех этих решений
позволяет защитить сеть от несанкционированных подключений и незаконно
подключаемых компьютеров.
Помимо рассмотрения требований к реализации этих решений в данном
разделе также приведены сведения о возможных проблемах, которые необходимо
устранить, чтобы гарантировать, что каждое решения является наилучшим
подходом для среды любой компании среднего размера.
Использование IPsec для изоляции доменов и серверов
Разработка плана реализации изоляции домена и сервера на основе IPsec
включает определение возможности реализации этого решения в данной сетевой
среде, а также сбор предварительных сведений, необходимых для разработки
плана реализации. Концепция изоляции сети на основе IPsec представлена в
разделе «Оценка» данного документа. Теперь, когда преимущества этого
подхода известны, имеется возможность сравнить их с возможными проблемами,
связанными с подобной реализацией. В этом разделе рассматриваются
некоторые проблемы, связанные с реализацией изоляции сети на основе IPsec,
а также требования к подобной реализации для содействия процессу принятия
решения.
Определение инфраструктуры сети
Поскольку IPsec основывается на протоколе Интернета, наличие подробных
сведений о текущей инфраструктуре сети и потоке трафика является ключевым
фактором успешного развертывания этого решения. Хотя сведения о схемах
IP-адресации, компоновке подсетей и шаблонах сетевого трафика являются
важными факторами, требующими определения, подробное документирование
сегментации сети и текущей модели потока сетевого трафика абсолютно
необходимо для успешной разработки и развертывания эффективного плана
изоляции сети.
Примечание. Рассмотрение деталей
документирования сетевой среды выходит за рамки этого документа. Создание
подобной документации крайне важно для успешной реализации любой
комплексной инициативы, связанной с безопасностью сети, включая такую, как
эта. Таким образом, при отсутствии такой документации, проекты, подобные
этому, должны рассматриваться как чрезвычайно рискованные для эффективной
реализации, пока не будут завершены мероприятия по созданию
документации.
Документирование архитектуры сети должно с высокой степенью точности
отражать текущее состояние и содержать указанные ниже сведения.
• |
Сведения о брандмауэрах и средствах балансировки нагрузки и их
местоположении. |
• |
Сведения о сетевых устройствах, включая размер ОЗУ, марку или
модель и параметры MTU. |
• |
Отчеты о сетевом трафике и использовании сети. |
• |
Использование трансляции сетевых адресов. |
• |
Сегментация виртуальной локальной сети (VLAN). |
• |
Сетевые соединения устройств. |
• |
Сведения о системе обнаружения вторжений
(IDS). |
Определение потока сетевого трафика
Помимо сведений об устройствах и настройках, которые могут оказать
влияние на изоляцию сети на основе IPsec, важно изучить структуру сетевого
трафика внутри сети. При сборе сведений этого типа важно учитывать такие
факторы как способ взаимодействия устройств, не работающих под управлением
Windows (например компьютеры под управлением Linux), или устройств,
использующих версию Windows до Windows 2000 с пакетом обновления 4, с
другими компьютерами под управлением Windows. Дополнительные аспекты.
• |
Имеются ли подсети, предназначенные для определенных типов
трафика, например взаимодействия больших ЭВМ? |
• |
Необходимо ли разделять трафик между различными
местоположениями? |
• |
Имеются ли типы трафика, требующие высокого уровня безопасности,
обеспечиваемого шифрованием, например, при взаимодействии с базой
данных сотрудников? |
• |
Имеются ли устройства, связанные с безопасностью, или параметры
брандмауэра, которые могут оказать влияние на реализацию, например,
блокировка UDP-порта 500? |
• |
Каким образом взаимодействуют приложения? Например, используют ли
они удаленный вызов процедур (RPC), который может потребовать
дополнительного рассмотрения? |
• |
Каким образом узлы и серверы взаимодействуют друг с другом?
Используют ли они подключения уровня портов и протоколов или
устанавливают множество сеансов, используя широкий диапазон
протоколов? |
Определение структуры Active Directory
Чтобы понять, какое влияние может оказать реализация IPsec на структуру
Active Directory, помимо ранее собранных сведений о сети важно собрать
сведения о структуре леса Active Directory, компоновке домена, схеме
подразделений и топологии сайта. Эти сведения должны включать указанные
ниже типы данных.
• |
Количество лесов. |
• |
Количество доменов и их имена. |
• |
Количество и типы доверительных отношений. |
• |
Количество сайтов и их имена. |
• |
Структура подразделений и групповой политики. |
• |
Сведения о любых существующих политиках IPsec (если IPsec
используется в настоящий момент). |
Идентификация узлов.
Ниже приведен перечень некоторых сведений об узлах, которые необходимо
собрать.
• |
Имена компьютеров. |
• |
IP-адреса, особенно статические адреса. |
• |
MAC-адреса. |
• |
Версия операционной системы, включая уровни пакетов обновления и
ревизий исправлений. |
• |
Членство в домене. |
• |
Физическое местонахождение. |
• |
Роль и тип оборудования. |