Пошаговое руководство по использованию протокола IPSec (Internet Protocol Security)

Пошаговое управление по использованию протокола IPSec (Internet Protocol Security)

Размещено: 17 февраля 2000 г.

Протокол IPSec (Internet Protocol Security) обеспечивает прозрачную для приложений и юзеров защищенную передачу данных в IP-сетях с внедрением служб шифрования, также защиту сетевого доступа в окружении Windows 2000.

Основное внимание в руководстве уделено скорейшему методу организации защищенной передачи данных меж сервером и клиентом средством IPSec. В этом руководстве показано, как с внедрением политик IPSec по дефлоту обеспечить защиту передаваемых меж 2-мя компьютерами данных, работающими под управлением ОС семейства Windows 2000 и находящихся в составе домена Windows 2000. С данным управлением в течение 30 минут Вы можете ознакомиться с IPSec-политиками по дефлоту, для того чтоб выполнить процедуры, описанные в первой части данного управления, Вам будет нужно два компьютера принадлежащих домену. В примечаниях обозначено, как обеспечить взаимодействие с сервером клиентов, не поддерживающих IPSec. Дальше во 2-ой части управления на примере пошаговых процедур разъясняется, как использовать сертификаты, также то, как выстроить свою свою политику для проверки способности взаимодействия либо демонстрации IPSec в отсутствии домена Windows 2000.

На этой страничке

Введение

Подготовительные условия

Подготовка к тестированию

Внедрение интегрированной политики IPSec

Создание пользовательской политики IPSec

Тестирование Вашей пользовательской политики

Внедрение сертификатов для проверки подлинности

Разъяснение процесса IKE-согласования (для опытнейших юзеров)

Устранение проблем

Дополнительная информация

Связанные ресурсы

Введение

Используя протокол IPSec, Вы сможете обеспечить конфиденциальность, целостность, подлинность и защиту данных от перехвата при передаче в сети с внедрением последующих режимов:

Транспортный режим IPSec обеспечивает защиту соединений клиент-сервер, сервер-сервер и клиент-клиент.

Туннельный режим IPSec с внедрением протокола L2TP обеспечивают неопасный удаленный доступ клиенту через Веб.

IPSec обеспечивает последующие типы защищенных соединений:

подключения типа шлюз-шлюз через глобальную сеть (WAN);

подключения через Веб с внедрением туннелей L2TP/IPSec;

подключения через Веб с внедрением туннельного режима IPSec.

Туннельный режим IPSec не предназначен для организации удаленного доступа в виртуальных личных сетях VPN. Операционная система Windows 2000 Server упрощает развертывание и управление сетевой безопасностью при помощи компонента Windows 2000 IP Security, который является рабочей реализацией IPSec. Для протокола IPSec, разработанного группой IETF в качестве архитектуры безопасности для IP-протокола, определен формат IP-пакетов и соответственная инфраструктура для обеспечения надежной аутентификации, целостности и (опционально) конфиденциальности при передаче данных по сетям. Согласование безопасности и служба управления автоматическими ключами также обеспечивается благодаря способностям обмена ключей в Вебе (Internet Key Exchange, IKE), определенного IETF в документе RFC 2409. Протокол IPSec и связанные службы, входящие в состав семейства ОС Windows 2000, разработаны вместе корпорациями Microsoft и Cisco Systems Inc.

Безопасность IP в Windows 2000 обеспечивается архитектурой IPSec, предложенной IETF, с возможностью интеграции в доменах Windows со службой каталогов Active Directory. Служба каталогов Active Directory позволяет организовать управление сетью на базе политик, что дает возможность использовать групповую политику для предназначения и распространения IPSec-политики на членов домена Windows 2000.

Реализация IKE обеспечивает три способа аутентификации, определенных эталонами IETF с целью установления доверительных отношений меж компьютерами:

Аутентификация Kerberos v5.0, предоставляемая инфраструктурой домена на базе Windows 2000, употребляется для воплощения неопасного взаимодействиями меж компьютерами из 1-го домена, а так же из разных доменов, меж которыми установлены доверительные дела.

Подписи открытого/закрытого ключа, использующие сертификаты, совместимые с системами сертификатов разных производителей, таких как Microsoft, Entrust, VeriSign и Netscape.

Пароли, именуемые подготовительными ключами аутентификации (pre-shared authentication keys), употребляются строго для установления доверительных отношений, но не для защиты пакетов данных приложений.

Как компы аутентифицировали друг дружку, ими генерируется огромное количество ключей для шифрования пакетов данных приложений. Эти ключи, известные только 2-мя компьютерами, обеспечивают защиту данных от модификации, также от анализа данных злодеями, может быть, находящимися в сети. Любой из этих компов употребляет IKE для согласования типа и размера применяемого ключа, также других характеристик безопасности, применяемой для защиты потоков данных приложений. Для обеспечения неизменной защиты эти ключи автоматом обновляются в согласовании с опциями политики IPSec, контролируемой админом.

Варианты использования IPSec

Протокол IPSec в Windows 2000 разработан таким макаром, что при его внедрении сетевыми админами обеспечивается прозрачная для юзеров и приложений защита данных. В любом случае более обычным методом реализации безопасности доверительных доменных отношений является внедрение аутентификации Kerberos. Сертификаты либо подготовительные ключи могут быть применены при отсутствии доверительных доменных отношений либо при использовании средств межсетевого взаимодействия посторониих производителей. Вы сможете использовать групповую политику IPSec для распространения конфигурации протокола IPSec на огромное количество клиентов и серверов.

Безопасность серверов

Зависимо от того, как админ изменяет сервер, безопасность IPSec для всей одноадресной передачи данных может быть или запрашиваемой, но не неотклонимой, или требуемой. При использовании этой модели, для ответов на запросы безопасности от серверов, клиентам довольно внедрения политики по дефлоту. После того, как будут выполнены сравнения безопасности IPSec (по одному в каждом из направлений) и установлено соединение меж сервером и клиентом, это соединение будет оставаться активным еще в течение 1-го часа после того, как меж ними был передан последний пакет данных.

По истечении этого часа клиентом аннулируется сравнение безопасности, и он ворачивается в изначальное состояние «только ответ». Если потом клиент опять вышлет пакеты открытым текстом на тот же сервер, то сервер восстановит неопасное подключение IPSec. Этот простой метод обеспечивает безопасность, если исходные пакеты, отправляемые приложением на сервер, не содержат секретных данных и если политикой сервера разрешен прием незащищенных пакетов, отправляемых клиентами открытым текстом.

Предупреждение. Такая конфигурация подходит только для серверов, расположенных во внутренней сети, так как серверу, сконфигурированному политикой IPSec, разрешено принимать незащищенные пакеты, отправленные открытым текстом. Если сервер подключен к сети Веб, то такая конфигурация употребляться не должна, так как в данном случае он не будет защищен от вероятных атак на службу, отвечающую за возможность приема незащищенных пакетов (DoS атаки).

Изолированные серверы

Если сервер впрямую доступен из Веба либо если все пакеты, отправляемые клиентом, содержат секретные данные, то на клиенте должна быть использована политика IPSec, в согласовании с которой нужно использовать IPSec при попытках отправки данных на сервер. В данном руководстве не будет рассмотрена такая конфигурация, но Вы сможете ее сделать, выполнив процедуры, описанные в разделе «Конфигурирование действий фильтров IPSec».

На клиентах и серверах могут быть сконфигурированы особенные правила для разрешения, блокирования либо защиты только определенных пакетов (определенных протоколом либо портом). Этот метод является более сложным исходя из убеждений конфигурирования и выявления ошибок, так как он просит глубочайших познаний типов сетевого трафика, применяемых приложениями, и административного координирования для гарантии того, что на всех клиентах и серверах использованы надлежащие политики.

Наверх странички

Подготовительные условия

Это управление скооперировано в форме пособия к лабораторной работе, при помощи которого сетевые и системные админы сумеют получить познания и осознание того, как работает IPSec в среде Windows 2000. Вы сможете изменить политику IPSec локально на каждом компьютере, а потом ввести и протестировать эту политику в сети, чтоб убедиться в защите сетевых коммуникаций. Для выполнения процедур, обрисованных в данном руководстве, Вам будет нужно последующее:

Два компьютера, работающих под управлением ОС Windows 2000. Вы будете использовать два компьютера, принадлежащих домену и работающих под управлением ОС Windows 2000 Professional, какой-то из них будет выступать в роли клиента, а другой в качестве сервера исходя из убеждений IPSec, при всем этом компы могут заходить в состав 1-го домена, или в различные домены, меж которыми установлены доверительные междоменные дела.

Контроллер домена под управлением Windows 2000 Server.

Локальная либо глобальная сеть, соединяющая эти три компьютера.

Инфраструктура, принятая в качестве основной, описана в Пошаговом руководстве по развертыванию базисной инфраструктуры Windows 2000 Server (Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment) http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx (EN).

Если Вы не используете основную инфраструктуру, Вам нужно выполнить надлежащие конфигурации процедур, обрисованных в данном руководстве. Для выполнения действий обрисованных в разделе «Использование сертификатов при проверке подлинности» будет нужно возможность подключения к серверу, работающему в качестве центра сертификации (ЦС). Если Вам пригодится установить сервер ЦС в Вашей сети, Вы сможете пользоваться Пошаговым управлением по настройке центра сертификации (Step by Step Guide to Setting Up a Certificate Authority) http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.aspю (EN).

Если у Вас есть сервер Kerberos v5, совместимый с MIT, и Вам нужно проверить IPSec Windows 2000 при использовании Kerberos, Вы сможете пользоваться Пошаговым управлением по взаимодействию с Kerberos v5 (Step-by-Step Guide to Kerberos 5 Interoperability) http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp (EN).

В данном случае в Вашем распоряжении должны быть два компьютера, принадлежащих домену, так как аутентификация Kerberos обеспечивается контроллером домена. Также Вы сможете использовать IPSec и на компьютерах, не принадлежащих домену. Для этого обратитесь к разделу, посвященному созданию пользовательской политики.

После выполнения процедур, обрисованных в данном руководстве, Вы будете иметь возможность:

Использовать встроенную политику IPSec.

Сделать свою свою политику IPSec.

Найти состояние безопасности IP.

Нужная информация

Вам будет нужно последующая информация о компьютерах участвующих в тесте:

Имя компьютера (щелкните правой кнопкой мышки на значке Мой компьютер (My Computer), изберите Характеристики (Properties) и перейдите на вкладку Сетевая Идентификация (Network Identification)).

Айпишника Ваших компов (нажмите кнопку Запуск (Start), потом нажмите Выполнить (Run), введите cmd и нажмите OK. Введите в командной строке ipconfig и нажмите Enter. После определения Айпишников введите exit и нажмите Enter).

Наверх странички

Подготовка к тестированию

Создание пользовательской консоли

Войдете в систему на первом тестовом компьютере в качестве юзера с правами админа. В нашем примере этот компьютер именуется HQ-RES-WRK-01.

Примечание. Дальше в этом документе HQ-RES-WRK-01 будет относиться к первому тестовому компу, а HQ-RES-WRK-02 – ко второму. Если Ваши компы имеют другие имена, то при выполнении процедур используйте их действительные имена.

Для сотворения пользовательской консоли MMC

1.

На десктопе нажмите Запуск (Start), нажмите Выполнить (Run), в поле Открыть (Open) введите mmc. Нажмите OK.

2.

В меню Консоль (Console) нажмите Добавить либо удалить оснастку (Add/Remove Snap-in).

3.

В диалоговом окне Добавить/Удалить оснастку (Add/Remove Snap-in) нажмите Добавить (Add).

4.

В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) изберите Управление компом (Computer Management) и потом нажмите Добавить (Add).

5.

Удостоверьтесь, что выбрано управление локальным компом (Local Computer) и нажмите Готово (Finish).

6.

В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) изберите оснастку Групповая политика (Group Policy) и потом нажмите Добавить (Add).

7.

Удостоверьтесь, что в диалоговом окне Выбор объекта групповой политики (Select Group Policy Object) выбрано управление локальным компом (Local Computer), и нажмите Готово (Finish).

8.

В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) изберите Сертификаты (Certificates) и потом нажмите Добавить (Add).

9.

Изберите учетную запись компьютера (Computer Account) и нажмите Дальше (Next).

10.

Удостоверьтесь, что выбрано управление локальным компом (Local Computer), и нажмите Готово (Finish).

11.

Закройте диалоговое окно Добавить изолированную оснастку (Add Standalone Snap-in), нажав кнопку Закрыть (Close).

12.

Закройте диалоговое окно Добавить/удалить оснастку (Add/Remove Snap-in) нажав OK.

Активирование политик аудита для Вашего компьютера

В последующей процедуре Вы будете настраивать аудит событий, которые будут региться при коммуникациях с внедрением IPSec. Позже это окажется полезным при доказательстве того, что IPSec работает корректно.

Чтоб активировать политику аудита

1.

В консоли MMC изберите Политика «Локальный компьютер» (Local Computer Policy) на левой панели и раскройте дерево, нажав [+]. Найдите узел Политика аудита (Audit Policy), зачем попеременно раскройте последующие узлы: Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings), Характеристики безопасности (Security Settings) и потом Локальные политики (Local Policies).

Пошаговое управление по использованию протокола IPSec (Internet Protocol Security)

Набросок 1 – Размещение узла Политика аудита (Audit Policy) в консоли MMC

2.

В перечне политик, отображенном на правой панели, два раза щелкните Аудит входа в систему (Audit Logon Events), в итоге чего отобразится диалоговое окно Аудит входа в систему (Audit Logon Events).

3.

В диалоговом окне Аудит входа в систему (Audit Logon Events) для регистрации удачных и неудачных попыток в секции Вести аудит последующих попыток доступа (Audit these attempts) установите флажки Фуррор (Success) и Отказ (Failed) и нажмите OK.

4.

Повторите этапы 2 и 3 для политики Аудит доступа к объектам (Audit Object Access).

Конфигурирование монитора IP-безопасности

Для контроля установленных неопасных подключений, которые будут сделаны при помощи политик IPSec, используйте инструмент Монитор IP-безопасности (IP Security Monitor). Перед созданием всех политик, сначала, запустите и сконфигурируйте данный инструмент.

Для пуска и конфигурирования монитора IP-безопасности

1.

Для пуска инструмента Монитор IP-безопасности (IP Security Monitor) нажмите Запуск (Start), потом Выполнить (Run), в поле Open (Открыть) введите ipsecmon и нажмите OK.

2.

В диалоговом окне монитора IP-безопасности нажмите кнопку Характеристики (Options) и измените значение по дефлоту Время перепроверки (Refresh Seconds) c 15 до 1, после этого нажмите OK.

3.

Сверните окно монитора IP-безопасности.

Потом Вы будете воспользоваться этим инвентарем для контроля политик при выполнении разных процедур, обрисованных в данном руководстве. Вернитесь в начало раздела «Создание пользовательской консоли MMC» и повторите все описанные этапы для второго компьютера (в нашем примере этот компьютер именуется HQ-RES-WRK-02).

Наверх странички

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.