[ShooTer]

11. Протокол IPSec

Безопасность IP-сетей - почти стандартное требование в нынешнем деловом мире с Интернетом, интрасетями, отделениями и удаленным доступом. Поскольку конфиденциальная информация постоянно пересылается по сети, сетевые администраторы и другие специалисты службы поддержки должны обеспечить защиту этого трафика от: изменения данных при пересылке; перехвата, просмотра и копирования; несанкционированного олицетворения (или маскарадинга) определенных ролей; перехвата и повторного использования для получения доступа к конфиденциальным ресурсам (для этого обычно применяется зашифрованный пароль). Службы безопасности призваны обеспечить целостность, конфиденциальность и проверку подлинности данных, а также защиту от их повторного использования для получения доступа.

Зачем нужен IPSec

Протокол IP не имеет стандартного механизма безопасности, и IP-пакеты легко перехватывать, просматривать, изменять, пересылать повторно и фальсифицировать. Без защиты и открытые, и частные сети подвержены несанкционированному доступу. Внутренние атаки - это обычно результат слабой или вообще отсутствующей защиты интрасети. Риски внешних атак обусловлены подключением к Интернету и экстрасетям. Одно лишь основанное на паролях управление доступом пользователей не обеспечивает безопасности данных, пересылаемых по сети. Вот почему сообщество Internet Engineering Task Force (IETF) разработало IPSec - протокол сетевого уровня для проверки подлинности, целостности и конфиденциальности данных, а также защиту от повторов. Поддержка IPSec встроена в Windows 2000 и Windows XP Professional. Таким образом, эти системы - хорошая основа для создания защищенных интрасетей и связи через Интернет. В них применяются стандартные отраслевые алгоритмы шифрования и всеобъемлющий подход к управлению системой безопасности для защиты всего обмена по протоколу TCP/IP на обеих сторонах брандмауэра организации. В результате стратегия сквозной безопасности Windows 2000 и Windows XP Professional защищает и от внешних, и от внутренних атак. IP-безопасность располагается ниже транспортного уровня, сокращая усилия сетевых администраторов, которым обычно приходится обеспечивать защиту последовательно для каждого приложения. Развертывание протокола IPSec в Windows XP Professional и Windows 2000 позволяет обеспечить высокий уровень безопасности всей сети, при этом приложения на серверах и клиентах, поддерживающих IPSec, защищаются автоматически.

Криптографические механизмы защиты

Для предупреждения нападений в IPSec служат криптографические механизмы. Они защищают информацию путем хеширования и шифрования. Для защиты информации используются алгоритм и ключ. Алгоритм - это последовательность математических действий для преобразования информации, а ключ - секретный код или число, необходимый для чтения, изменения или проверки защищенных данных. Уровень безопасности для данного сеанса в IPSec определяется политикой. Политика обычно назначается в распределенных системах через контроллеры домена с Windows 2000 или создается и хранится локально в реестре компьютера с Windows XP Professional.

IPSec в работе

Перед передачей любых данных компьютер с поддержкой IPSec согласовывает с партнером по связи уровень защиты, используемый в сеансе. В процессе согласования определяются методы аутентификации, хеширования, туннелирования (при необходимости) и шифрования (также при необходимости). Секретные ключи проверки подлинности создаются на каждом компьютере локально на основании информации, которой они обмениваются. Никакие реальные ключи никогда не передаются по сети. После создания ключа выполняется проверка подлинности и начинается сеанс защищенного обмена данными. Уровень безопасности (высокий или низкий) определяется политиками IP-безопасности обменивающихся компьютеров. Скажем, для связи между компьютером с Windows XP Professional и компьютером, не поддерживающим IPSec, создание защищенного канала не требуется. С другой стороны, в сессии обмена между Windows 2000-сервером, содержащим конфиденциальные данные, и компьютером в интрасети обычно нужна высокая степень безопасности.

12. Поддержка смарт-карт

Смарт-карта - это устройство с интегральной схемой размером с кредитную карточку, предназначенное для безопасного хранения открытых и закрытых ключей, паролей и прочей личной информации. Она служит для операций шифрования с открытым ключом, проверки подлинности, введения цифровой подписи и обмена ключами. Смарт-карта предоставляет следующие функции: особо защищенное хранилище для закрытых ключей и другой частной информации; изоляцию чрезвычайно важных для безопасности вычислений, в том числе проверки подлинности, цифровой подписи и обмена ключами, от других компонентов системы, которые напрямую не работают с этими данными; свободу перемещения реквизитов пользователей и другой частной информации между компьютерами на работе и дома, а также удаленными компьютерами.

PIN вместо пароля

Для активизации смарт-карт применяются PIN-коды (Personal Identification Number - персональный идентификационный номер), а не пароли. Код известен только владельцу смарт-карты, что повышает надежность защиты. Для активизации смарт-карты пользователь вводит ее в подключенное к компьютеру устройство чтения и в ответ на запрос системы вводит свой PIN-код. PIN-код надежнее обычных сетевых паролей. Пароли (или их производные, например, хеш) передаются по сети и подвержены атакам. Устойчивость пароля к взлому зависит от его длины, надежности механизма защиты пароля и от того, насколько трудно его угадать. С другой стороны, PIN-код никогда не передается по сети, и поэтому его нельзя перехватить анализатором пакетов. Дополнительное средство защиты - блокировка смарт-карты после нескольких неудачных попыток подряд ввести PIN-код, что сильно затрудняет подбор кода. Разблокировать смарт-карту может только администратор системы.

Стандарты смарт-карт

Windows 2000 работает со стандартными смарт-картами и устройствами чтения смарт-карт, поддерживающими спецификацию PC/SC (Personal Computer/Smart Card), определенную рабочей группой PC/SC Workgroup, а также технологию Plug and Play. Для поддержки спецификации PC/SC 1.0 в Windows смарт-карта должна конструктивно и по электрическим характеристикам соответствовать стандартам ISO 7816-1, 7816-2 и 7816-3. Устройства чтения смарт-карт подключают к стандартным интерфейсам периферийных устройств персонального компьютера, таким как RS-232, PS/2, PCMCIA и USB. Некоторые устройства чтения смарт-карт с интерфейсом RS-232 оборудованы дополнительным кабелем, подключаемым к порту PS/2 и используемым для питания устройства. PS/2-порт применяется только для питания, но не для передачи данных. Устройства чтения смарт-карт считаются стандартными устройствами Windows со своим дескриптором безопасности и PnP-идентификатором. Они управляются стандартными драйверами устройств Windows и устанавливаются и удаляются средствами мастера Hardware wizard. В Windows 2000 Server и Windows XP Professional имеются драйверы для многих коммерческих PnP-устройств чтения смарт-карт с логотипом совместимости с Windows. Некоторые производители поставляют драйверы для несертифицированных устройств чтения, которые в настоящее время работают с Windows. И все же для обеспечения постоянной поддержки Microsoft рекомендуется приобретать устройства чтения смарт-карт, имеющие логотип совместимости с Windows.

Вход в систему с использованием смарт-карты

Смарт-карты применяются для входа только под доменными, но не локальными учетными записями. Если вход в систему в интерактивном режиме под учетной записью домена в Windows 2000 Server и Windows XP Professional выполняется по паролю, используется протокол проверки подлинности Kerberos v5. При входе со смарт-картой ОС использует Kerberos v5 с сертификатами X.509 v3, если только контроллер домена не работает под Windows 2000 Server. Если вместо пароля применяется смарт-карта, хранимая на ней пара ключей заменяется общим секретным ключом, созданным на основе пароля. Закрытый ключ есть только на смарт-карте. Открытый ключ предоставляется всем, с кем нужно обмениваться конфиденциальной информацией.

Применение смарт-карт для администрирования

Администраторы выполняют свою обычную работу под учетной записью простого пользователя, а привилегированную административную учетную запись применяют для администрирования. Такие инструментальные средства и утилиты, как Net.exe и Runas.exe, позволяют им работать с дополнительными реквизитами. В Windows XP Professional служебные программы также применяются для управления реквизитами на смарт-картах.

13. Kerberos v5

В Windows 2000 и Windows XP Professional реквизиты предоставляются в виде пароля, билета Kerberos или смарт-карты (если компьютер оборудован для работы со смарт-картами). Протокол Kerberos v5 обеспечивает взаимную проверку подлинности клиента (например, пользователя, компьютера или службы) и сервера. Kerberos v5 предоставляет для серверов высокоэффективные средства аутентификации клиентов даже в огромных и чрезвычайно сложных сетевых средах. Протокол Kerberos основан на предположении, что начальный обмен между клиентами и серверами выполняется в открытой сети, т. е. в такой, где любой неавторизованный пользователь может имитировать клиент или сервер, перехватывать или подделывать сообщения между полномочными клиентами и серверами. Kerberos v5 поддерживает защищенный и эффективный механизм проверки подлинности в сложных сетях с клиентами и ресурсами. В Kerberos v5 применяется секретный (симметричный) ключ шифрования для защиты передаваемых по сети реквизитов входа в систему. Этот же ключ использует получатель для расшифровки реквизитов. Расшифровка и все последующие шаги выполняются службой центра распространения ключей Kerberos, работающей на каждом контроллере домена в составе Active Directory.

Аутентификатор

Аутентификатор - это информация (например, метка времени), уникальная для каждого сеанса проверки и присоединяемая к зашифрованным реквизитам входа в систему для гарантии того, что переданное ранее сообщение с реквизитами не используются повторно. Для подтверждения получения и принятия исходного сообщения генерируется новый аутентификатор и присоединяется к зашифрованному ответу KDC клиенту. Если реквизиты входа в систему и аутентификатор удовлетворяют KDC, он выпускает билет TGT (ticket-granting ticket), на основании которого диспетчер локальной безопасности (Local Security Authority, LSA) получает билеты служб. Билеты служб содержат зашифрованные данные, подтверждающие подлинность клиента, и применяются для получения доступа к сетевым ресурсам без дополнительной проверки подлинности на все время действия билета. Начальный ввод пароля или реквизитов со смарт-карты "виден" пользователю, все остальное происходит автоматически ("прозрачно") без его участия.

Служба центра распространения ключей Kerberos

Эта служба применяется совместно с протоколом проверки подлинности Kerberos для аутентификации запросов на вход в систему в соответствии с данными в Active Directory. Kerberos v5 используется в Windows 2000 Server и Windows XP Professional по умолчанию, но для нормальной работы этого протокола требуется, чтобы и контроллеры домена, и клиентские компьютеры работали под управлением Windows 2000 или Windows XP Professional. Если это условие не соблюдается, для проверки подлинности используется протокол NTLM.


Камилл Ахметов