Безопасность при работе в сети

Обеспечение безопасности серверов

Хотя Windows XP Professional не имеет версии, предназначенной специально для серверов, тем не менее, следует предпринять несколько важных шагов по обеспечению безопасности сервера (Windows NT, 2000 или .NET) во время постройки и конфигурирования Windows XP Professional сети. Так же следует обдуманно настраивать соединения сервера с Windows XP Professional-клиентами. В этом разделе рассматриваются такие методы обеспечения безопасности сервера, как IPSec, протоколы безопасности, групповая политика, аутентификация и списки управления доступом.

IPSec

Windows XP Professional обеспечивает безопасность передачи пакетов в сетях TCP/IP с помощью протокола IPSec. IPSec можно использовать для создания сквозных безопасных решений, основанных на применении шифрованной передачи данных. IPSec-решение предлагает следующее.

• Конфиденциальность. Отдельные лица не могут перехватывать и читать сообщения.
• Аутентификация. Отправители сообщений действительно являются теми, кем себя объявляют.
• Целостность. Сообщения гарантированно не могут быть фальсифицированными при передаче.
• Защита. Блокируя определенные порты или протоколы, IPSec защищает от возможных отказов от обслуживания (denial of service, DoS).

Как работает протокол IPSec

На рис. 9.11 схематически изображена работа протокола IPSec. Хост с активной политикой безопасности хочет установить соединение с другим компьютером, использующим политику безопасности.

1. Хост А пытается передать данные. IPSec-драйвер хоста А связывается с IPSec-драйвером хоста В для установления ассоциированной безопасности (SA) , о которой пойдет речь в следующем разделе.
2. Два компьютера производят обмен секретными ключами проверки подлинности, создавая секретные ключи совместного пользования.
3. Используя методику безопасности, согласованную в SA, хост А подписывает и шифрует пакеты, предназначенные для хоста В.
4. Хост В получает пакеты, и драйвер IPSec проверяет подпись и ключ пакетов. После аутентификации данные передаются по стеку в хост В.

Разумеется, весь процесс происходит быстро и незаметно для пользователей компьютеров А и В. Однако на шифрование и дешифрование этих пакетов расходуются дополнительные циклы работы процессора.

Согласование протоколов IPSec

На каждом компьютере в Windows XP/2000/.NET сетях имеется агент IP-политики. Является он активным или нет, решает администратор. Если агент активен, то он извлекает IPSec-политику, которая описывает согласование методов локальной защиты, и внедряет ее на локальном компьютере.

Рис. 9.11. Для обмена информацией два хоста устанавливают связь посредством протокола IPSec

SA является контрактом, заключаемым между двумя компьютерами до начала обмена данными. В этом соглашении определены следующие особенности обмена данными.

• Протокол IPSec. Заголовок аутентификации, инкапсулированная полезная нагрузка.
• Алгоритм целостности. Message Digest 5, алгоритм безопасного хэширования.
• Алгоритм шифрования. Data Encryption Standard (DES), Triple DES, 40-битное DES или никакого.

Установка IPSec-политики

По умолчанию Windows XP Professional предоставляет три вида заранее определенной политики безопасности, которые подходят для большинства случаев. Вы также можете начать с одного из этих видов политики и модифицировать его в соответствии со своими нуждами. Ниже дается описание этих политик.

• Client (Работает только в режиме отклика). Компьютеру дается указание использовать протокол IPSec, если другой компьютер запрашивает его. IPSec не требуется при установке связи с другим компьютером. Эта политика лучше всего подходит для компьютеров, в которых находится очень мало или отсутствуют секретные данные.
• Server (Защита желательна). Эта политика предназначена для серверов, которые должны по мере возможности использовать протокол IPSec, но не отменяют сеанс связи, если клиент не поддерживает IPSec. При необходимости тотальной безопасности должна применяться политика Secure Server, описанная ниже. Политика Server применяется в таком окружении, где не каждый клиент может использовать IPSec. Например, во время миграции из системы Windows NT.
• Secure Server (Защита обязательна). Эта политика подходит для серверов, содержащих секретные данные. Она требует использования IPSec всеми клиентами. Все исходящие соединения безопасны, а все небезопасные запросы клиентов получают отказ.

Выбор правильной политики основывается на тщательной оценке данных. Необдуманное предписание самого высокого уровня безопасности для всех пользователей и серверов создаст огромную и ненужную нагрузку на серверах и клиентских рабочих станциях. Это связано с дополнительной работой компьютеров по шифрованию и дешифрованию всего сетевого трафика. Однако разрешение любому клиенту устанавливать связь с безопасным сервером открывает широкий доступ для потока небезопасной информации.

Создание и применение IPSec-политики

Консоль Microsoft Management Console (MMC) используется для создания и конфигурирования IPSec-политики. Для этого в ММС надо добавить оснастку IPSec Policy Management (рис. 9.12).

Рис. 9.12. Оснастка IPSec Policy Management

Примечание. Добавление IPSec в ММС происходит аналогично добавлению других оснасток, упомянутых в этом курсе. Просмотрев список доступных оснасток, выберите IP Security Policy Management.

После добавления IPSec в консоль ММС появится запрос, каким компьютером эта оснастка будет управлять. Можно выбрать следующие опции:

• этот компьютер;
• контроллер домена Active Directory, членом которого является этот компьютер;
• другой домен Active Directory;
• другой компьютер.

Когда вы в первый раз откроете оснастку IPSec, то увидите три вида политик, предоставленных по умолчанию, чтобы вы могли модифицировать их так, как нужно. Вы можете создать собственную политику, используя мастер политики IP-безопасности. Мастер запускается правым щелчком мыши на оснастке IPSec в левом окне с последующим выбором Create IP Security Policy (Создать политику безопасности IP).

При запуске мастер запросит следующую информацию.

• Имя и описание политики.
• Будет ли политика отвечать на запросы по установке безопасных соединений.
• Метод аутентификации (Kerberos, сертификат или общий секретный ключ).

Фрагмент готовой IPSec-политики показан на рис. 9.13.

Можно также регулировать настройки, относящиеся к работе с ключами и к ограничениям информации, которой вы будете обмениваться. Например, щелкнув дважды на All IP Traffic (Весь IP-трафик), можно уточнить настройки данной характеристики. Как показано на рис. 9.14, эта специфическая деталь IPSec указывает на фильтрацию всего IP-трафика, ICMP-трафика или трафика обоих видов.

Можно импортировать другие доступные методы обеспечения безопасности по мере их появления, чтобы не привязываться к устаревшей технологии. После внесения изменений политика будет добавлена к списку политик безопасности по умолчанию, так что вы всегда сможете воспользоваться ей или модифицировать ее позже.

Дальше IPSec-политика может быть присвоена групповой политике (Group Policy). Здесь она будет применяться ко всем компьютерам, которые являются членами группы, и ко всем пользователям. В отличие от других видов политики, локальная политика безопасности имеет приоритет над политиками, стоящими выше с иерархической точки зрения. Например, локальная IPSec-политика организационной единицы аннулирует политику, присвоенную домену.

Рис. 9.13. Конфигурирование IPSec-политики в ММС

Рис. 9.14. Редактирование правил IPSec