Использование IPSec в ОС Windows 200x. Окончание
Использование IPSec в ОС Windows 200x
Окончание. Начало в КГ №21
Настройки новой политики безопасности IP
Настройка новой политики определяется следующими шагами:
1. Создание новой политики безопасности IP.
2. Определение нового правила:
a) списка IP-фильтров (назначение используемых сетевых протоколов и адресов взаимодействующих хостов);
b) действия фильтра (выбор используемых криптографических алгоритмов);
c) методов проверки подлинности (назначение способа установления доверительных отношений между компьютерами);
d) типа подключения (удаленный доступ, локальная сеть);
e) параметров туннеля (использовать или нет туннельный вариант протокола IPSec).
Для пользователя, имеющего опыт администрирования, не составит серьезных сложностей сформировать новые политики безопасности, используя в качестве примеров существующие в стандартной поставке Windows. Отметим только некоторые моменты, которые, на наш взгляд, могут серьезным образом повлиять на создаваемое защищенное соединение.
1. Установка возможности определения собственных правил.
В начале работы мастера политики IP-безопасности не забудьте отменить установку флажка Использовать правило по умолчанию (Activate the default response rule) — это позволит определить собственное пользовательское правило.
2. Определение необходимости использования протокола шифрования данных.
При определении действий фильтра удостоверьтесь в том, что Методы безопасности (Security Methods) определяют необходимость Согласовать безопасность (Negotiate security), и убедитесь в том, что флажок установлен только на пункте Принимать небезопасную связь, но отвечать с помощью IPSec (Accept unsecured communication, but always respond using IPSec).
Кроме того, все выбранные методы безопасности должны предполагать использование протокола ESP. Это обеспечит вам шифрование данных IP-пакетов.
3. Выбор метода проверки подлинности.
Предлагается не задействовать стандартный метод проверки подлинности Kerberos, а использовать возможность установления защищенного соединения с использованием прописываемой в установках обоих компьютеров одной и той же секретной строки. Указанная схема установления защищенного соединения может быть использована при работе в локальных сетях как с контроллером домена, так и без него.
Приведем некоторые пояснения для возможных методов установления доверительных отношений:
Стандарт Windows 2000 Kerberos V5 (Windows 2000 default (Kerberos V5)). Протокол Kerberos задан по умолчанию в Windows 2000, и, если все участники находятся в одном домене, это будет лучшим вариантом, поскольку облегчает конфигурирование.
Использовать сертификат данного Центра сертификации (Use a certificate from this Certificate Authority (CA)). Безопасность, основанная на применении сертификатов. Можно использовать сертификаты для инициализации защищенного соединения. Они совместимы со многими системами сертификации.
Использовать данную строку для защиты обмена ключами (Use this string to protect the key exchange (preshared key)). Использование предварительно совместно используемых строк является наиболее нежелательным методом обеспечения безопасности: если строка будет сфальсифицирована, невозможно гарантировать конфиденциальность. Однако подобный метод можно использовать в том случае, если поддерживаются внешние операционные системы или устройства.
Заключение
В статье описаны основополагающие моменты, связанные с настройкой IPSec-соединения между двумя компьютерами на базе операционных систем WIndows 2000/2003. Дальнейшими путями расширения реализации IPSec могут быть:
1. Использование возможностей работы с IPSec под управлением домена.
2. Развертывание Инфраструктуры открытых ключей (public key infrastructure — PKI).
Эти действия повлекут изменения в методах проверки подлинности и повысят уровень безопасности при установлении сеансов защищенных соединений.
Отметим, что IPSec предполагает два варианта сетевого соединения: транспортный и туннельный.
При транспортном заголовок IP-пакета (в том числе и IP-адрес) не изменяется. Заголовок IPSec вставляется между заголовком IP и остальными заголовками или, соответственно, данными. При таком способе передачи изменения затрагивают только транспортный уровень пакета IP, а собственно данные пакета смогут быть аутентифицированы и/или зашифрованы.
При туннельном варианте изменяется весь пакет IP. Защита распространяется на заголовок IP и данные, причем вместо исходного создается новый заголовок IP с другими IP-адресами.
В данной статье описывается наиболее простой — транспортный вариант использования IPSec.
Дальнейшим усилением VPN может быть использование Layer Two Tunneling Protocol (L2TP) — протокола туннелирования второго уровня. В данном случае настройки предполагаются более сложные по схеме защищенной связи:
клиент<-> сервер <-> сервер<-> клиент
При установлении сеанса L2TP происходят следующие действия.
Если клиент связывается с туннельным сервером VPN, используя тип подключения, определенный как L2TP, клиент автоматически создает политику IPSec, если она еще не установлена для данного клиента.
Если политика IPSec уже создана, протокол L2TP просто внедряет правило безопасности, которое защищает весь трафик. При этом используются настройки безопасности, которые определены с помощью имеющейся политики. Если для системы не установлены политики IPSec, протокол L2TP создает собственное правило безопасности IPSec. В этом случае IPSec фильтрует трафик и приводит к установке соглашения по обмену ключей.
Устанавливается туннельное соглашение L2TP, вследствие чего IPSec защищает трафик туннельного контроля, а также данные, передаваемые с помощью этого туннеля. С помощью идентификатора и пароля пользователя протокол L2TP производит аутентификацию сервера VPN. При использовании смарт-карты производится аутентификация на основе сертификата.
Максим Костышин, Maxim_Kostyshin@mail.ru,
специалист по компьютерной безопасности
Окончание. Начало в КГ №21
Настройки новой политики безопасности IP
Настройка новой политики определяется следующими шагами:
1. Создание новой политики безопасности IP.
2. Определение нового правила:
a) списка IP-фильтров (назначение используемых сетевых протоколов и адресов взаимодействующих хостов);
b) действия фильтра (выбор используемых криптографических алгоритмов);
c) методов проверки подлинности (назначение способа установления доверительных отношений между компьютерами);
d) типа подключения (удаленный доступ, локальная сеть);
e) параметров туннеля (использовать или нет туннельный вариант протокола IPSec).
Для пользователя, имеющего опыт администрирования, не составит серьезных сложностей сформировать новые политики безопасности, используя в качестве примеров существующие в стандартной поставке Windows. Отметим только некоторые моменты, которые, на наш взгляд, могут серьезным образом повлиять на создаваемое защищенное соединение.
1. Установка возможности определения собственных правил.
В начале работы мастера политики IP-безопасности не забудьте отменить установку флажка Использовать правило по умолчанию (Activate the default response rule) — это позволит определить собственное пользовательское правило.
2. Определение необходимости использования протокола шифрования данных.
При определении действий фильтра удостоверьтесь в том, что Методы безопасности (Security Methods) определяют необходимость Согласовать безопасность (Negotiate security), и убедитесь в том, что флажок установлен только на пункте Принимать небезопасную связь, но отвечать с помощью IPSec (Accept unsecured communication, but always respond using IPSec).
Кроме того, все выбранные методы безопасности должны предполагать использование протокола ESP. Это обеспечит вам шифрование данных IP-пакетов.
3. Выбор метода проверки подлинности.
Предлагается не задействовать стандартный метод проверки подлинности Kerberos, а использовать возможность установления защищенного соединения с использованием прописываемой в установках обоих компьютеров одной и той же секретной строки. Указанная схема установления защищенного соединения может быть использована при работе в локальных сетях как с контроллером домена, так и без него.
Приведем некоторые пояснения для возможных методов установления доверительных отношений:
Стандарт Windows 2000 Kerberos V5 (Windows 2000 default (Kerberos V5)). Протокол Kerberos задан по умолчанию в Windows 2000, и, если все участники находятся в одном домене, это будет лучшим вариантом, поскольку облегчает конфигурирование.
Использовать сертификат данного Центра сертификации (Use a certificate from this Certificate Authority (CA)). Безопасность, основанная на применении сертификатов. Можно использовать сертификаты для инициализации защищенного соединения. Они совместимы со многими системами сертификации.
Использовать данную строку для защиты обмена ключами (Use this string to protect the key exchange (preshared key)). Использование предварительно совместно используемых строк является наиболее нежелательным методом обеспечения безопасности: если строка будет сфальсифицирована, невозможно гарантировать конфиденциальность. Однако подобный метод можно использовать в том случае, если поддерживаются внешние операционные системы или устройства.
Заключение
В статье описаны основополагающие моменты, связанные с настройкой IPSec-соединения между двумя компьютерами на базе операционных систем WIndows 2000/2003. Дальнейшими путями расширения реализации IPSec могут быть:
1. Использование возможностей работы с IPSec под управлением домена.
2. Развертывание Инфраструктуры открытых ключей (public key infrastructure — PKI).
Эти действия повлекут изменения в методах проверки подлинности и повысят уровень безопасности при установлении сеансов защищенных соединений.
Отметим, что IPSec предполагает два варианта сетевого соединения: транспортный и туннельный.
При транспортном заголовок IP-пакета (в том числе и IP-адрес) не изменяется. Заголовок IPSec вставляется между заголовком IP и остальными заголовками или, соответственно, данными. При таком способе передачи изменения затрагивают только транспортный уровень пакета IP, а собственно данные пакета смогут быть аутентифицированы и/или зашифрованы.
При туннельном варианте изменяется весь пакет IP. Защита распространяется на заголовок IP и данные, причем вместо исходного создается новый заголовок IP с другими IP-адресами.
В данной статье описывается наиболее простой — транспортный вариант использования IPSec.
Дальнейшим усилением VPN может быть использование Layer Two Tunneling Protocol (L2TP) — протокола туннелирования второго уровня. В данном случае настройки предполагаются более сложные по схеме защищенной связи:
клиент<-> сервер <-> сервер<-> клиент
При установлении сеанса L2TP происходят следующие действия.
Если клиент связывается с туннельным сервером VPN, используя тип подключения, определенный как L2TP, клиент автоматически создает политику IPSec, если она еще не установлена для данного клиента.
Если политика IPSec уже создана, протокол L2TP просто внедряет правило безопасности, которое защищает весь трафик. При этом используются настройки безопасности, которые определены с помощью имеющейся политики. Если для системы не установлены политики IPSec, протокол L2TP создает собственное правило безопасности IPSec. В этом случае IPSec фильтрует трафик и приводит к установке соглашения по обмену ключей.
Устанавливается туннельное соглашение L2TP, вследствие чего IPSec защищает трафик туннельного контроля, а также данные, передаваемые с помощью этого туннеля. С помощью идентификатора и пароля пользователя протокол L2TP производит аутентификацию сервера VPN. При использовании смарт-карты производится аутентификация на основе сертификата.
Максим Костышин, Maxim_Kostyshin@mail.ru,
специалист по компьютерной безопасности
Компьютерная газета. Статья была опубликована в номере 22 за 2003 год в рубрике soft :: ос