Определение емкости IPsec
Имеются некоторые аспекты планирования емкости, которые необходимо
учитывать при разработке плана реализации IPsec, в частности при
рассмотрении возможности использования шифрования IPsec, поскольку оно
требует определенных ресурсов узла и увеличивает нагрузку на сеть.
Аспекты, которые требуется рассмотреть.
• |
Использование памяти сервера. Каждый сеанс может
потреблять до 5 КБ ОЗУ. |
• |
Загрузка ЦП сервера, рабочей
станции, и инфраструктурного устройства. Эти
сведения особенно важны для серверов. Убедитесь в том, что
устройства уже не используются слишком интенсивно. |
• |
Сетевая задержка и загрузка сети. При использовании IPsec
задержка увеличится. Когда корпорация Майкрософт развернула IPsec,
загрузка сети увеличилась с 1 % до 3 %. |
• |
Использование трансляции сетевых адресов (NAT) и типа
шифрования. Взаимодействие с использованием заголовков проверки
подлинности (AH) не проходит через NAT. Таким образом, для
шифрования взаимодействия необходимо использовать безопасное
закрытие содержания ESP. ESP создает большую нагрузку на сеть, чем
шифрование AH, если только не используется нулевое шифрование
ESP. |
• |
Влияние групповой политики. Объекты групповой политики
IPsec оказывают влияние на время запуска компьютера и входа в
систему. Для определения фактического влияния необходимо выполнить
замеры времени до и после тестовой
реализации. |
Определение уровней доверия
Другой важный аспект связан с определением узлов, которые будут
участвовать в решении, и степени их участия. Чтобы определить это,
необходимо четко установить, каким условиям должен соответствовать узел,
чтобы быть надежным, и какие степени доверия могут существовать. Следующие
сведения могут оказаться полезными для этого процесса, поскольку в них
содержится несколько четких определений доверия, критерии соответствия
заданным уровням доверия и их влияние на процесс планирования.
Имеется четыре основных состояния, которые можно применить к узлу в
связи с уровнями доверия. В порядке убывания уровня доверия имеются
следующие состояния.
• |
Надежный. Состояние «Надежный» подразумевает, что риски,
связанные с безопасностью узла, находятся под контролем, а другие
надежные узлы могут рассчитывать на отсутствие вредоносных действий
со стороны этого узла. Хотя это состояние не обязательно означает,
что узел полностью безопасен, оно означает, что состояние этого узла
находится в рамках ответственности ИТ-отдела и управляется с помощью
определенного механизма, который может быть автоматическим или
представлять собой документированный процесс.
Поскольку этот узел является надежным, инфраструктура сети не
должна препятствовать взаимодействию между этим узлом и другими
надежными узлами. Поскольку можно с уверенностью предполагать, что
на этом узле не будут выполняться никакие вредоносные действия, нет
необходимости блокировать или фильтровать трафик с этого узла с
помощью брандмауэров или подобных мер. |
• |
Заслуживающий доверия. Состояние «Заслуживающий доверия»
означает, что, хотя компьютер способен стать надежным устройством,
для сертификации в качестве надежного он все еще требует внесения
дополнительных изменений в конфигурацию или установки каких-либо
обновлений. Определение таких компьютеров особенно важно в процессе
проектирования, поскольку они являются показателем количества усилий
и затрат, которые могут потребоваться для создания изолированной
сети. |
• |
Известный, ненадежный. Имеется ряд причин,
по которым известный компьютер не способен стать надежным активом,
включая финансовые ограничения, потребности бизнеса или даже
функциональные требования. Например, финансирования проекта может
быть недостаточно для обновления всех компьютеров, некоторые
подразделения компании могут иметь собственные домены, или старое
приложение может быть несовместимо с поддерживаемыми в настоящий
момент операционными системами и поэтому не может быть запущено на
безопасном компьютере.
Вне зависимости от причины владельцы известных, но ненадежных
компьютеров должны проконсультироваться, чтобы определить, можно ли
что-либо сделать, чтобы привести компьютер в соответствие с
установленными политиками и определить способы устранения этой
проблемы при поддержании приемлемого профиля риска. |
• |
Неизвестный, ненадежный. Состояние
«Неизвестный, ненадежный» должно быть состоянием по умолчанию для
всех узлов. Узлы в этом состоянии неуправляемы, а их конфигурации
неизвестны, поэтому им нельзя назначить никакое другое состояние.
Следует предполагать, что эти узлы могут быть взломаны и
использованы в качестве платформ для вредоносных действий, и поэтому
данные узлы представляют неприемлемый уровень риска для компании.
Это решение рассчитано на уменьшение потенциального влияния таких
систем. |
Использование собранных сведений
Когда все необходимые сведения собраны, становится возможным
разработать план реализации и определить пригодность для текущей сетевой
среды решения по изоляции сети на основе IPsec. На реализацию этого
решения может оказывать влияние ряд факторов, часть которых перечислены
ниже.
• |
Стоимость обновлений, необходимых для приведения узлов в
соответствие с состоянием «Надежный» и обеспечения совместимости с
требованиями IPsec. |
• |
Стоимость обновления инфраструктуры или замены текущих сетевых
устройств, которые не поддерживают IPsec. |
• |
Нахождение баланса между возможным снижением качества
обслуживания на основе маршрутизатора и преимуществами изоляции сети
для безопасности, поскольку при реализации IPsec назначение
приоритетов на основе портов не будет работать, а качество
обслуживания на основе IP-адресов продолжит
функционировать. |
• |
Устройства для наблюдения за сетью и обнаружения вторжений могут
не работать после внедрения IPsec, особенно, если используется
шифрование ESP. Для решения этой проблемы можно использовать
синтаксические анализаторы, если устройство поддерживает
синтаксический анализатор IPsec. |
• |
Реализация IPsec может потребовать обновления оборудования из-за
увеличения накладных расходов и требований к ЦП и оперативной памяти
для серверов и сетевых устройств. |
• |
Возможны проблемы с управлением ожиданием, поскольку сетевая
задержка может увеличиться. |
• |
Работа с поставщиками и гостевыми пользователями также может
обернуться чрезмерными накладными расходами, поскольку у этих
пользователей имеются ненадежные устройства и могут быть связанные с
бизнесом причины, по которым им необходимо иметь доступ к сетевым
ресурсам изолированной сети. Подобными исключениями трудно
управлять, поскольку их количество и частота возникновения
увеличиваются, но их можно обойти, используя пограничную зону между
надежной и ненадежной сетями. |
Эти проблемы показывают необходимость тщательного планирования и
тестирования перед внесением изменений, которые могут оказать влияние на
всю сеть, например, перед реализацией IPsec и изоляции сети. Необходимо
уделять пристальное внимание не только способам реализации этого решения,
но и его осуществимости с учетом текущего состояния сети и финансовых
затрат на ее приведение в соответствие с политиками. Кроме того, в
качестве возможной стратегии снижения риска для устранения подобных
проблем необходимо рассмотреть ограниченное или поэтапное развертывание с
изоляцией только определенных устройств.
Опять-таки, изоляция сети на основе IPsec является лишь частью
комплексного решения. Каждое из приведенных в этом руководстве решений
помогает защититься от ненадежных устройств, которые могут подключаться к
сети, но каждая часть этого решения может использоваться самостоятельно
для повышения уровня безопасности в любой сети. Таким образом, даже если
изоляция домена и сервера на основе IPsec не является приемлемым решением
на данный момент, полезно будет реализовать другие приведенные здесь
решения и, возможно, вернуться к идее изоляции сети после того, как сеть
станет более развитой и совместимой с требованиями, сформулированными в
этом документе.
Использование служб карантина VPN для защиты от неуправляемых
удаленных компьютеров
В случае стандартного сеанса сервера удаленного доступа на основе
Windows сервер выполняет при инициализации сеанса клиентом удаленного
доступа перечисленные ниже действия.
1. |
Сервер удаленного доступа выполняет проверку на соответствие
заданным политикам удаленного доступа и разрешает
подключение. |
2. |
Сервер проверяет разрешения удаленного доступа
пользователя. |
3. |
Сервер проверяет учетные данные пользователя с помощью Active
Directory или иной службы проверки подлинности. |
4. |
Сервер назначает удаленному клиенту
IP-адрес. |
С этого момента удаленный клиент имеет полный доступ к сети. При этом
не выполнялось никаких проверок уровня обновлений, наличия или состояния
обновлений антивирусного программного обеспечения или иных сведений,
относящихся к политике безопасности. Такая функциональность далека от
идеала, поскольку иногда к удаленным пользователям или мобильным
компьютерам не применяются обновления, изменения конфигурации или
исправления.
Карантинное VPN-подключение имеет, тем не менее, ряд отличий, которые
показаны на следующем рисунке и приведены в списке.
Рис. 8. Процесс карантина VPN
1. |
Удаленный клиент запускает сценарий диспетчера подключений,
который выполняется перед подключением и проверяет основные
необходимые условия подключения (такие как уровень обновлений
безопасности и дату создания файла с сигнатурами вирусов) и
сохраняет результаты. После выполнения этого сценария клиент
устанавливает сеанс удаленного подключения через туннель
VPN. |
2. |
Сервер удаленного доступа проверяет учетные данные пользователя с
помощью службы RADIUS, которая для проверки учетных данных
использует служба Active Directory. |
3. |
После того как служба Active Directory проверила подлинность
пользователя, сервер удаленного доступа переводит клиента в
состояние карантина, применяя политику удаленного доступа. В
состоянии карантина доступ к сети ограничен согласно параметрам
политики карантина. Подобный ограниченный доступ можно реализовать с
помощью фильтра IP-адресов, ограничивающего доступ к определенным
ресурсам, используемым для приведения клиента в соответствие с
политикой или путем задания периода ожидания, по истечении которого
клиент будет отключен. |
4. |
Сценарий, выполняемый после подключения, уведомляет сервер
удаленного доступа о том, соответствует ли клиент указанным
требованиям. Если соответствие подключения не подтверждено в течение
периода ожидания, пользователь получает уведомление с подробными
сведениями об ошибке, а подключение прерывается. |
5. |
Если сценарий, выполняемый после подключения, сообщает о том, что
клиент соответствует указанным требованиям, сервер удаленного
доступа отключает режим карантина путем удаления ограничений фильтра
IP-адресов, предоставляя разрешение на доступ к сетевым ресурсам,
указанным в политике удаленного доступа. |
Клиент удаленного доступа может получить доступ только к тем ресурсам,
которые расположены в указанной карантинной сети, независимо от того,
является ли эта сеть отдельной подсетью или заданным набором серверов с
доступом в Интернет. Карантинная сеть должна предоставлять ресурсы,
которые позволили бы удаленному клиенту выполнить действия по приведению
удаленного компьютера в соответствие со стандартами безопасности. Как
правило, эти ресурсы включают доступ к серверу DNS для разрешения имен,
файловому серверу для загрузки обновлений, а также, возможно, к
веб-серверу для получения инструкций или обновлений через Интернет.
Использование карантинной подсети в этом процессе потребует задания
более продолжительного времени ожидания, которого должно хватать на
загрузку и установку обновлений на компьютер удаленного клиента. Чтобы
обойти эту проблему, клиентский компьютер можно перенаправить на
использование других источников или серверов обновления с выходом в
Интернет вне сеанса VPN, хотя этот подход потребует создания более
сложного сценария и может быть связан с другими проблемами в сфере
безопасности. В любом случае поведение при карантине определяет именно
сценарий, а не карантинная сеть сама по себе.
Примечание. Политики IPsec можно записать в
сценарий, если карантинное решение должно работать с компьютерами, не
входящими в домен. В таких случаях для применения простых политик с
сертификатами для поддержки проверки подлинности IPsec можно использовать
команды netsh или lpseccmd.exe. Протокол IPsec может использоваться с
входящими в домен компьютерами в конфигурации карантина VPN наряду с
многоуровневым решением.
Клиентские компоненты карантина VPN
Как отмечалось в предыдущем разделе, первое действие в процессе
карантина VPN начинается с клиента, в частности, со сценария диспетчера
подключений, выполняемого перед подключением. Диспетчер подключений входит
в пакет администрирования диспетчера подключений (CMAK), предназначенного
для централизованной и автоматизированной установки и управления сетевыми
подключениями и использует несколько ключевых областей конфигурации
карантина VPN, включая перечисленные ниже.
• |
Проверка безопасности перед подключением для автоматического
управления конфигурацией компьютера клиента. |
• |
Проверка безопасности после подключения и проверка входа в
систему. |
Диспетчер подключений позволяет администраторам задавать
пользовательские действия с помощью профилей, распространяемых на
множество компьютеров. Эта возможность упрощает процесс подключения для
удаленных пользователей, ограничивая количество параметров, которые они
могут изменять. Ниже перечислены некоторые параметры, которые можно
изменять.
• |
Создание списков телефонных номеров, которые можно использовать
для подключений удаленного доступа. |
• |
Настройка графики, значков, сообщений и текста справки. |
• |
Выполнение пользовательских действий перед подключением и после
подключения, включая такие действия как сброс профиля
номеронабирателя и настройка правил фильтра пакетов брандмауэра
Windows. |
Другим компонентом CMAK является агент клиента (RQC.exe), который
взаимодействует со службой карантина удаленного доступа (RQS.exe) на
сервере удаленного доступа, используя порт TCP 7250. При установке
карантинного подключения RQS отправляет RQC общий секретный ключ. Если
клиент соответствует необходимым условиям, RQC отправляет общий ключ для
выведения клиента из карантина.
Профили диспетчера подключений представляют собой самораспаковывающиеся
пакеты номеронабирателя клиента диспетчера подключений, которые можно
создавать и настраивать с помощью CMAK. Мастер CMAK проводит
администраторов через процесс настройки профиля, который впоследствии
можно распространять с помощью ряда механизмов, начиная с групповой
политики и заканчивая функцией распространения программного обеспечения
сервера Microsoft Systems Management Server (SMS) 2003. При выполнении
созданного исполняемого файла на компьютере клиента, этот файл
устанавливает на локальный компьютер профиль и параметры, необходимые для
установки соединения с серверами удаленного доступа. Чтобы установить
подключение после завершения установки, пользователю необходимо только
указать имя профиля в меню Подключение в Windows XP.
Дополнительные сведения о CMAK см. на странице пакета администрирования диспетчера подключений веб-узла
Microsoft TechNet
(эта ссылка может указывать на содержимое полностью или частично на
английском языке).
Серверные компоненты карантина VPN
Сервер удаленного доступа VPN является центральной частью этого решения
и выполняет перечисленные ниже функции.
• |
Запуск службы карантина удаленного доступа (RQS.exe). |
• |
Применение политик удаленного доступа к параметрам карантинного
доступа. |
• |
Осуществление взаимодействия с агентом клиента. |
• |
Получение сведений о соответствии политике от агента
клиента. |
• |
Применение политик удаленного доступа для определения разрешений
на доступ к сетевым ресурсам. |
Служба карантина удаленного доступа является необязательным компонентом
в Windows Server 2003 с пакетом обновления 1, поддерживающим необходимые
API-интерфейсы для перевода компьютеров удаленных клиентов в режим
карантина и вывода из него после отправки агентом клиента уведомления о
соответствии политике. Эта служба (RQS.exe) осуществляет прослушивание
порта TCP 7250 для получения уведомления от компонента со стороны клиента
(RQC.exe) о том, что компьютер клиента соответствует требованиям политики.
Это означает, что для правильного функционирования данного решения
необходимо, чтобы все брандмауэры, включая брандмауэры, установленные на
узлах, разрешали прохождение трафика через порт TCP 7250.
Сетевые компоненты карантина VPN
Следующий список включает как необходимые, так и необязательные сетевые
компоненты, которые могут быть частью карантинной сети VPN.
• |
Сервер службы проверки подлинности в Интернете (IAS) RADIUS
(рекомендуется). Хотя серверы службы проверки подлинности в
Интернете (IAS) необходимы только при использовании RADIUS в
качестве поставщика проверки подлинности, они имеют несколько
неоспоримых преимуществ перед другими решениями для проверки
подлинности, включая поддержку расширяемого протокола проверки
подлинности для поддержки двухфакторной проверки подлинности с
использованием сертификатов и смарт-карт. При использовании RADIUS
рекомендуется использовать в качестве поставщика RADIUS службу
проверки подлинности в Интернете (IAS), поставляемую совместно с
Windows Server 2003, поскольку она поддерживает атрибуты поставщика
MS-Quarantine Session Timeout и MS-Quarantine-IPFilter VSA. Другие
серверы RADIUS могут их не поддерживать. |
• |
Active Directory (рекомендуется). Active Directory играет
для RADIUS роль базы данных проверки подлинности учетных записей
пользователей и интегрируется со службой проверки подлинности в
Интернете (IAS) и другими службами. При использовании в сочетании с
IAS она может поддерживать двухфакторную проверку подлинности с
использованием сертификатов или других методов. |
• |
Сервер DHCP (рекомендуется). Серверы DHCP используются для
предоставления IP-адресов удаленным клиентам. |
• |
Сервер DNS (рекомендуется). Сервер DNS предоставляет
службы разрешения имен, чтобы клиенты в сети карантина могли
подключаться к другим серверам (если таковые имеются), которые могут
помочь привести компьютеры удаленных клиентов в соответствие с
политиками. |
• |
Сервер WSUS (необязательно). Серверы WSUS могут
предоставлять необходимые обновления безопасности и исправления,
которые могут потребоваться удаленным компьютерам для соответствия
требованиям, позволяющим выйти из состояния карантина. Также можно
использовать другие методы, включая SMS 2003 или даже стандартные
службы Windows Update, если компьютеры необходимо перенаправить на
внешние источники для получения обновлений. |
• |
Файловый сервер (необязательно). Файловые серверы можно
использовать для создания общих ресурсов, через которые компьютеры,
находящиеся в состоянии карантина, могут получить доступ к
обновлениям программного обеспечения и файлам с сигнатурами вирусов
для антивирусного программного обеспечения, чтобы соответствовать
требованиям политики. |
• |
Веб-сервер (необязательно). Веб-серверы можно использовать
в режиме карантина для предоставления пользователям инструкций по
выводу их компьютеров из состояния карантина. Для доставки некоторых
пакетов обновления также используются веб-компоненты (примером могут
служить некоторые антивирусные программы). |
Использование проверки подлинности 802.1X для защиты от неуправляемых
клиентов беспроводных сетей
Проверка подлинности 802.1X была представлена в предыдущем разделе как
наиболее эффективный из доступных вариантов обеспечения защиты
беспроводных сетей от ненадежных компьютеров. Были описаны различные
методы 802.1X, изначально поддерживаемые в текущих версиях Microsoft
Windows, и приведено объяснение того, почему проверка подлинности 802.1X
неэффективна для проводных сетей (хотя она весьма эффективна для
беспроводных сетей). Располагая этими сведениями, можно рассмотреть
различия между поддерживаемыми методами и определить, какой из них
наилучшим образом подходит для различных типов сетей компаний среднего
размера.
Сравнение методов 802.1X
Как уже ранее обсуждалось, имеется три метода 802.1X, поддерживаемых в
текущих версиях Microsoft Windows. Это следующие методы:
• |
EAP-MD5; |
• |
защищенный EAP (PEAP); |
• |
EAP-TLS. |
Из этих трех методов первый (EAP-MD5) считается наименее безопасным,
поскольку при его использовании парольные фразы передаются в эфир и могут
быть перехвачены. Другие два метода (PEAP и EAP-TLS) заслуживают
рассмотрения при развертывании в сетях компаний среднего размера.
Реализация PEAP корпорации Майкрософт использует протокол проверки
подлинности по методу «вызов-приветствие» версии 2 (MS-CHAP v2), который
изначально был разработан в качестве метода проверки подлинности для
удаленного доступа через VPN, но хорошо подходит для PEAP, поскольку может
поддерживать политики надежных паролей пользователей, доступные через
Active Directory. Этот подход проще в реализации, чем EAP-TLS, и дешевле в
плане ресурсов и первоначальных затрат, поскольку для его реализации не
требуется большого количества дополнительных серверов и услуг. Хотя для
этого решения требуются сертификаты для серверов проверки подлинности, эти
сертификаты могут создавать сторонние поставщики сертификатов, поскольку
для реализации решения не требуется большого количества сертификатов.
Однако EAP-TLS считается наиболее безопасной из имеющихся реализаций
проверки подлинности 802.1X, поскольку в нем для выполнения взаимной
проверки подлинности требуются сертификаты как со стороны клиента, так и
со стороны сервера. Поскольку для подобной реализации требуется большое
количество сертификатов, для ее поддержки рекомендуется внедрить
инфраструктуру открытых ключей, если таковая отсутствует. Таким образом,
EAP-TLS требует больших затрат на реализацию и поддержку по сравнению с
PEAP с использованием MS-CHAP версии 2.
Процесс принятия решения относительно 802.1X
Чтобы облегчить процесс принятия решения относительно выбора лучшей
реализации 802.1X для конкретной сетевой среды, корпорация Майкрософт
разработала следующее дерево решений для проверки подлинности 802.1X.
Рис. 9. Дерево решений 802.1X
Эта блок-схема может привести к некоторой путанице из-за
использующегося в ней термина «крупный бизнес». Под этим термином следует
понимать любую организацию, в которой работает по меньшей мере 500
сотрудников и имеется ИТ-отдел, состоящий по меньшей мере из 5
специалистов. С учетом этих сведений становится ясно, что для компании
среднего размера подойдет любое решение. Таким образом, процесс принятия
решений развивается в большей степени в направлении определения параметров
приемлемого уровня риска и экономической эффективности.
Ключевое различие между PEAP и EAP-TLS состоит в необходимости создания
инфраструктуры сертификатов. Поэтому EAP-TLS обычно рассматривается как
вариант, более подходящий для крупного бизнеса, а PEAP считается
достаточным для более мелких организаций, если не существует
нормативно-правовых ограничений, требующих использования более строгих
стандартов безопасности. Помимо экономических соображений у организаций
иногда имеются дополнительные потребности в инфраструктуре сертификатов,
что является дополнительным обоснованием вложений в инфраструктуру
открытых ключей. В итоге, если для защиты веб-содержимого или подписывания
кода необходимо множество сертификатов, единственным разумным выходом
будет использование такого вложения в инфраструктуру для реализации
наиболее безопасной разновидности проверки подлинности 802.1X.