Требования 802.1X PEAP
Решение на основе PEAP с использованием MS-CHAP версии 2 корпорации
Майкрософт требует наличия по меньшей мере двух серверов RADIUS службы
проверки подлинности в Интернете (IAS) для работы в качестве серверов
проверки подлинности для беспроводных клиентов по базе данных учетных
записей Active Directory. Количество необходимых серверов RADIUS может
зависеть от количества удаленных площадок или необходимости обработки
большого количества попыток проверки подлинности со стороны пользователей.
Наличие удаленных объектов не требует автоматически дополнительных
серверов RADIUS проверки подлинности через Интернет (IAS). Однако если
удаленные объекты не имеют избыточных подключений с высокой пропускной
способностью или уже используют собственные контроллеры домена или иные
локальные ресурсы, тогда для таких объектов необходимо добавить
дополнительные серверы.
Требования 802.1X EAP-TLS
Как упоминалось ранее, EAP-TLS требует больше ресурсов, чем решения на
основе PEAP, из-за потребности в дополнительных сертификатах. Разумеется,
для выпуска сертификатов для всех клиентов беспроводных сетей и серверов
проверки подлинности можно воспользоваться услугами сторонних поставщиков,
но такой подход является более дорогостоящим, чем реализация
инфраструктуры сертификатов, за исключением случая, когда количество
клиентов беспроводных сетей жестко ограничено небольшим количеством
пользователей.
В итоге простая реализация EAP-TLS потребует по меньшей мере четыре
сервера, еще больше потребуется для более крупных компаний или для
территориально распределенных сетей. Два из этих четырех серверов будут
работать в качестве резервных серверов RADIUS службы проверки подлинности
в Интернете (IAS), а другие два будут функционировать в качестве
инфраструктуры сертификатов. Рекомендуется, чтобы один из этих двух
серверов сертификатов (корневой сервер сертификатов) настраивался в
отключенном от сети состоянии и оставался отключенным. Это означает, что
при определенных обстоятельствах количество серверов может быть сокращено
до одного.
Использование WEP или WPA
Другой проблемой в отношении безопасности беспроводных сетей, которую
необходимо решить, является вопрос о необходимости шифрования беспроводных
соединений, и, в случае положительного ответа, выбор используемого
стандарта. Для среды компании среднего размера имеется крайне мало причин,
по которым не следует использовать шифрование беспроводных соединений. Все
эти причины связаны с предоставлением организацией общедоступного
беспроводного подключения к Интернету. Во всех других случаях для
обеспечения безопасности беспроводной сети необходимо использовать один из
видов шифрования беспроводных соединений наряду с проверкой подлинности на
основе 802.1X.
Имеется два вида шифрования беспроводных соединений с одним
дополнительным вариантом. Это следующие виды.
• |
WEP. Стандарт WEP (Wired Equivalent Privacy) входил в
исходный стандарт IEEE 802.11, в котором для защиты беспроводных
взаимодействий использовалось 64-рязрядное или 128-рязрядное
шифрование RC4. В этом методе были обнаружены серьезные недостатки,
которые делали его крайне уязвимым для атак с использованием
пассивного прослушивания. Имеется ряд средств, способных
расшифровать передачи WEP за относительно короткий промежуток
времени, иногда за считанные минуты. Как правило, WEP не
рекомендуется использовать в корпоративных системах, но его можно
сделать относительно безопасным с помощью различных методов, включая
использование проверки подлинности 802.1X. |
• |
WPA. В качестве ответа на слабости, присущие стандарту
WEP, консорциум ведущих компаний отрасли, включая корпорацию
Майкрософт и институт Wi-Fi, создал стандарт WPA (Wi-Fi Protected
Access), представлявший собой частичную реализацию стандарта
802.11i, который в то время еще разрабатывался. Этот стандарт
обеспечивает намного более надежное шифрование, основанное на
использовании для шифрования данных протокола TKIP (Temporal Key
Integrity Protocol), который значительно превосходит уязвимый
стандарт WEP. Большинство имеющихся в настоящее время на рынке
беспроводных точек доступа, а также все текущие версии ОС Microsoft
Windows поддерживают стандарт WPA. |
• |
WPA2. Стандарт WPA2 (Wireless Protected Access 2) был
установлен в сентябре 2004 г. альянсом Wi-Fi. Он сертифицирован в
качестве полной реализации спецификации IEEE 802.11i, которая была
ратифицирована в июне 2004 г. Этот стандарт поддерживает методы
проверки подлинности EAP на основе 802.1X или технологию PSK (иногда
называемую персональным режимом WPA), но в нем реализован более
совершенный механизм шифрования, использующий протокол CCMP
(Counter-Mode/CBC-MAC Protocol), который называется улучшенным
стандартом шифрования (AES). Эта реализация шифрования беспроводных
соединений чрезвычайно надежна. Большинство поставщиков поддерживают
WPA2 в каком-либо виде. Не являются исключением и текущие версии ОС
Microsoft Windows. |
Для шифрования данных, передаваемых по беспроводным сетям, следует
использовать WPA2 или WPA, если это возможно. Однако ввиду новизны данных
стандартов это не всегда возможно, особенно, если значительные средства
были вложены в беспроводное оборудование, которое не поддерживает эти
стандарты. Как было упомянуто ранее, можно повысить уровень безопасности,
обеспечиваемый стандартом WEP, путем настройки проверки подлинности 802.1X
и частой смены пар ключей. Однако даже в этом случае, использование WEP
должно быть ограничено беспроводными сетями, которые находятся в состоянии
перехода на стандарт WPA или WPA 2.
Использование SMS-сервера для обнаружения неуправляемых
компьютеров
Сервер Microsoft Systems Management Server (SMS) 2003 является весьма
универсальным средством управления в сети Майкрософт. С помощью
SMS-сервера можно осуществить централизацию нескольких функций управления,
включая доставку программного обеспечения, развертывание обновлений
безопасности и аудит компьютеров. Среди этих функций основной является
возможность автоматизированной и централизованной инвентаризации
компьютеров, с которых устанавливаются эти крайне полезные средства.
Именно при этом начинает действовать обнаружение неуправляемых систем.
Сервер SMS 2003 обеспечивает различные методы обнаружения, которые
администраторы могут использовать для создания базы данных компьютеров,
содержащей сведения о каждом компьютере в сети. Эти методы обнаружения
варьируются от обнаружения на основе Active Directory (при котором список
компьютеров обновляется на основе сведений, предоставляемых списком
учетных записей компьютеров Active Directory) до сетевого метода
обнаружения (при котором сеть активно проверяется на наличие любых
подключенных устройств). Эти методы обнаружения можно настроить на
автоматический запуск через предварительно определенные промежутки времени
и обновление баз данных компьютеров по завершении работы.
Для обнаружения подключенных к сети неуправляемых компьютеров можно
настроить метод сетевого обнаружения на более частый запуск, а затем
регулярно просматривать результаты поиска, чтобы выявлять подключение к
сети новых компьютеров. При возникновении подключений подобных компьютеров
их следует проверять по установленному списку новых компьютеров или
запросов на подключение к сети, чтобы подтвердить, что новый компьютер
авторизован для использования сети.
Процесс сетевого обнаружения
Одним из недостатков подобного подхода к обнаружению неуправляемых
компьютеров является то, что SMS-сервер может испытывать трудности при
получении подробных сведений о компьютерах, использующих операционные
системы, отличные от Microsoft Windows. На самом деле, даже версии Windows
до Microsoft Windows 98 SE могут не обнаруживаться методами SMS 2003,
поскольку они не поддерживают реализации интерфейса управления Windows
(WMI). Соответственно, к данному решению необходимо добавить сценарии для
обнаружения любого нового устройства, подключаемого к сети. На следующем
рисунке показана работа такого процесса.
Рис. 10. Процесс обнаружения неуправляемого
компьютера с помощью SMS
На этом рисунке показаны методы обнаружения, которые можно использовать
для добавления различных типов компьютеров в базу данных SMS-сервера.
Существует три различных типа компьютеров, с которыми приходится иметь
дело.
• |
Управляемые компьютеры, доступные для SMS-сервера. Эти
компьютеры могут управляться SMS-сервером и уже находятся под его
управлением. Они уже находятся в базе данных SMS-сервера, и их
следует настроить на автоматическое управление. Их можно
рассматривать как часть надежной сети, не требующей дальнейшего
вмешательства. |
• |
Неуправляемые компьютеры, доступные для SMS-сервера. Этими
компьютерами можно управлять с помощью SMS-сервера, но они еще не
находятся под его управлением. Они могут обнаруживаться или не
обнаруживаться SMS-сервером в зависимости от их размещения в сети
(например за брандмауэрами или нет) и в их число могут входить
компьютеры, которые управляются другими способами. Эти компьютеры
вместе с полными сведениями об их управлении должны находиться в
списке неучтенных компьютеров. В противном случае следует
рассматривать их как ненадежные и при необходимости проводить
дальнейшее расследование. Они могут обнаруживаться с помощью
SMS-сервера, если никакое сетевое устройство не блокирует подобные
действия. |
• |
Неуправляемые компьютеры, недоступные для SMS-сервера.
Этими компьютерами нельзя управлять с помощью SMS-сервера, и они
неподконтрольны SMS-серверу. В их число могут входить или не входить
известные компьютеры, управляемые другими способами. Эти компьютеры
вместе со сведениями об их управлении должны находиться в списке
неучтенных компьютеров. В противном случае следует рассматривать их
как неизвестные и ненадежные и проводить дальнейшее расследование.
Эти компьютеры можно обнаружить только с помощью процессов, отличных
от процесса обнаружения SMS-сервера, включая настраиваемые сценарии
обнаружения. |
На этом этапе должно быть понятно, что процесс обнаружения
неуправляемых компьютеров в сети зависит от внедрения процессов, которые
подробно документируют сведения о каждом авторизованном подключении
компьютера к сети. Такая документация должна содержать подробные сведения
о компьютере, вне зависимости от использования для управления им
автоматических методов (таких как SMS). Если такие сведения отсутствуют,
то в документации должны быть данные о процессе, используемом для
поддержания соответствия компьютера установленным политикам безопасности,
если таковые имеются. Разумеется, в сети могут быть авторизованные
компьютеры, для которых не требуется обязательного соответствия стандартам
безопасности. Однако подобные компьютеры должны быть принудительно
помещены в ненадежный сегмент сети, изолированный от надежной сети.
При наличии документированного процесса добавления компьютера, который
автоматически учитывает все известные компьютеры в сети, эти сведения
можно использовать для определения того, что является авторизованным, а
что нет. Любые компьютеры, обнаруженные в сети и не входящие в этот
список, следует рассматривать как подозрительные и немедленно проводить
расследование.
Развертывание и управление
Раздел «Разработка» содержит сведения, необходимые для создания планов
развертывания. В этом разделе рассказывается об общих проблемах
развертывания и процессах, которые будут полезны техническим специалистам
при реализации этих решений, а руководителям помогут лучше разобраться в
последствиях внедрения, чтобы принять взвешенное решение о том, подходят
ли данные технологии для определенной среды.
Использование IPsec для изоляции доменов и серверов
Ввиду сложности изоляции сети на основе IPsec, рекомендуется
использовать поэтапный подход к развертыванию этого решения в
производственной среде. Имеется два способа поэтапного развертывания,
различающиеся тем, каким образом развертываются политики IPsec — по
группам или по политике.
Независимо от того, какой из методов используется, важно использовать
опытные образцы из каждой группы на начальных стадиях развертывания, а
также по возможности тестировать влияние этого решения в тестовой среде.
Развертывание IPsec должно проходить в соответствии с формальной
процедурой запросов контроля изменений, которая подробно описывает планы
развертывания, а также запросы от владельцев технологических и
бизнес-процессов.
Развертывание IPsec по группам
В методе внедрения изоляции сети на основе IPsec по группам
используются полностью определенные политики IPsec. Для контроля над
реализацией используются списки доступа (ACL) для объектов групповой
политики, которые осуществляют доставку политик. Перед развертыванием во
всех политиках IPsec должны быть полностью определены все исключения и
безопасные подсети с помощью соответствующих действий фильтров.
После завершения настройки администраторы создают объекты групповой
политики для каждой политики IPsec и всех групп компьютеров, управляемых с
помощью этих объектов групповой политики. После создания необходимых
политик IPsec они назначаются соответствующим объектам групповой политики,
а объекты групповой политики сопоставляются соответствующим объектам в
Active Directory. На этой стадии процесса не следует осуществлять никакие
политики, поскольку списки доступа (ACL), контролирующие назначение
объектов групповой политики, пусты.
После определения тестовых компьютеров соответствующие учетные записи
компьютеров можно поместить в подходящие группы компьютеров. Политика
IPsec будет применена после прохождения следующего интервала опроса
объектов групповой политики. По мере добавления все большего количества
компьютеров в список развертывания на различных этапах их учетные записи
необходимо помещать в соответствующие группы для осуществления
политики.
Этот метод требует тщательного планирования, поскольку чреват
нарушением взаимодействия. Например, если сервер, на котором размещено
приложение, используемое всеми узлами, был помещен в безопасную группу,
которая требует шифрования взаимодействия на основе IPsec, тогда
компьютеры, еще не добавленные в группы, и все узлы, которые не могут
использовать шифрование IPsec, не смогут соединиться с этим сервером.
Развертывание IPsec по политике
В этом методе развертывание осуществляется путем создания с нуля
политик IPsec в процессе развертывания, а не перед фактическим
развертыванием в производственной среде. При использовании этого метода
исходные политики IPsec включают только списки исключений без правил,
установленных для согласования безопасности компьютеров. После
осуществления первоначальной политики администраторы могут создать правило
безопасности с фильтром, влияющим только на одну подсеть. По мере
продвижения развертывания в правило безопасности могут добавляться
дополнительные подсети, пока политика не достигнет состояния полного
развертывания.
Преимущества использования метода поэтапного развертывания заключаются
в том, что IPsec используется только для небольшой доли общего трафика
TCP/IP, а не для всех подсетей, как в случае с подходом развертывания по
группам. Кроме того, этот метод допускает тестирование всех сетевых путей
из одной подсети, сокращая таким образом количество клиентов,
затрагиваемых в случае возникновения каких-либо проблем. Проблема,
связанная с этим подходом, заключается в том, что он применяется ко всем
компьютерам в изолированном домене или группе, а не к определенным
компьютерам, как в случае развертывания по группам. Кроме того, на
определенном этапе все компьютеры столкнутся с трехсекундной задержкой при
переходе в незащищенный режим при инициализации соединений с указанными
подсетями.
Этот подход хорошо работает для сложных сетей с множеством подсетей, но
малопривлекателен для более мелких сетей с относительно небольшим
количеством подсетей.
Списки исключений
Даже наилучшим образом спроектированная модель изоляции сети столкнется
с рядом ограничений при реализации в реальной среде. Чаще всего
определенные проблемы возникают с ключевыми компонентами сетевой среды,
такими как серверы DNS и контроллеры домена. Таким компьютерам необходима
защита, но они также должны быть доступны всем компьютерам в сети. Таким
образом, они должны быть открыты для запросов на входящие подключения. При
реализации плана могут возникнуть и другие проблемы, однако для их
разрешения можно использовать списки исключений.
Список исключений — это список компьютеров, для защиты которых нельзя
использовать IPsec, и этот список необходимо создать в каждой
разработанной политике IPsec. Поскольку IPsec поддерживает только
статическую фильтрацию, любой узел, добавленный в список исключений, будет
отправлять и принимать трафик из всех частей сети, как надежных, так и
ненадежных. По этой причине список исключений должен быть как можно
короче, поскольку эти узлы требуют дополнительной защиты путем усиления
сервера и использования брандмауэра для фильтрации по узлам с
отслеживанием состояния для снижения уровня риска, представляемого
неуправляемыми устройствами. Также может быть полезным рассмотрение
возможности помещения узлов, входящих в список исключений, в отдельную
подсеть или виртуальную локальную сеть для облегчения управления или
объединения функций серверов с целью сокращения количества узлов, входящих
в список исключений.
Ниже перечислены некоторые узлы, которые, возможно, потребуется
добавить в список исключений.
• |
Контроллеры домена, не поддерживающие взаимодействия с членами
домена на основе IPsec, даже если они предоставляют политики IPsec
членам домена и выполняют проверку подлинности Kerberos, на которой
основана изоляция сети. |
• |
Узлы, производительность которых упала до неприемлемого уровня
(это может случаться с узлами, которым требуется обслуживать
одновременно тысячи клиентов), а также узлы, на работу которых
влияет трехсекундная задержка при переходе в незащищенный режим,
например серверы DHCP. |
• |
Узлы, которые не должны быть совместимы с реализацией IPsec, а
также узлы, предоставляющие услуги надежным и ненадежным
компьютерам, но не использующие IPsec. |
Как и в случае с пограничной группой, для узлов, которые требуется
добавить в списки исключений, должна быть установлена формальная процедура
утверждения.
Примечание. Для Microsoft Windows XP и Windows
Server 2003 имеется исправление «Простая политика», которое делает
использование списков исключений ненужным. Дополнительные сведения см. в
статье 914841 базы знаний Майкрософт (эта ссылка может указывать на
содержимое полностью или частично на английском языке) и в статье 914842
базы знаний Майкрософт
(эта ссылка может указывать на содержимое полностью или частично на
английском языке).
Аспекты управления IPsec
После внедрения политики IPsec оказывают влияние на взаимодействие
между множеством узлов в сети. Таким образом, изменения, внесенные после
развертывания, могут оказать значительное влияние на многих пользователей.
По этой причине все изменения, вносимые в изолированную сеть на основе
IPsec, должны выполняться в соответствии со стандартизированной процедурой
управления изменениями MOF, включающей следующие компоненты.
• |
Запрос на изменение (RFC). |
• |
Классификация изменения. |
• |
Авторизация изменения. |
• |
План развертывания изменения. |
• |
План выпуска изменения. |
• |
Просмотр изменения. |
Корпорация Майкрософт рекомендует использовать в качестве платформы для
управления IPsec Windows Server 2003. Чтобы облегчить выполнение задач
управления, администраторы могут использовать оснастку MMC политики IPsec
или средство Netsh с интерфейсом командной строки в консоли Windows Server
2003. В остальном управление политиками IPsec представляет собой довольно
рутинную процедуру, поскольку они реализуются через групповую политику.
Таким образом, добавление новых компьютеров в надежную сеть можно
автоматизировать при использовании установленного процесса добавления
компьютера.
Однако при рассмотрении изменений необходимо принимать во внимание ряд
факторов.
• |
Любые изменения, вносимые в действие фильтра, используемого для
сопоставления безопасности IPsec, приведут к удалению сопоставлений
безопасности, установленных в параметрах политики. Эта функция
создает новую попытку быстрого режима, если какой-либо трафик
находится в пути, что может привести к сбросу сетевого
трафика. |
• |
Изменение метода проверки подлинности или метода безопасности
основного режима может привести к тому, что IKE удалит существующие
основные режимы. При определенных обстоятельствах эта функция может
привести к сбою согласования с клиентами основного режима протокола
IKE на стороне сервера. |
• |
При изменении политик IPsec в объекте групповой политики могут
возникать определенные задержки (включая задержку при репликации
Active Directory и задержку при опросе объекта групповой политики),
которые могут продолжаться от нескольких минут до нескольких часов,
в зависимости от размера и сложности среды. |
Другой аспект управления заключается в способе изоляции подозрительных
компьютеров при заражении. Ниже перечислено несколько способов борьбы с
вредоносными действиями.
• |
Изоляция домена изоляции. Изменяя фильтр IPsec режима
безопасного запроса для отключения небезопасного взаимодействия,
изолированную сеть можно полностью отрезать от ненадежной сети при
возникновении подозрений в том, что ненадежное устройство является
платформой для вредоносных действий. |
• |
Блокировка подозрительных портов. Создав список фильтров с
двумя односторонними фильтрами, можно блокировать трафик по портам.
Этот подход следует использовать с осторожностью, поскольку он может
привести к блокировке необходимого трафика, например трафика DNS,
что затруднит последующее внесение изменений в IPsec или откаты в
предыдущее состояние. |
• |
Изоляция дочерних доменов. Изменив политики на
использование доменом предварительного ключа вместо протокола
Kerberos для проверки подлинности IPsec, можно изолировать домен от
других доменов в лесу. |
• |
Изоляция предварительно определенных групп. Путем
использования предварительных ключей или сертификатов для проверки
подлинности IPsec вместо протокола Kerberos можно создать группы
изоляции, использующие различные ключи или сертификаты,
предназначенные для выполнения такого же типа изоляции.
|