Защита доступа к сети. Предварительные требования

• Введение
• Доменные службы Active Directory
• Групповая политика
• Инфраструктура открытого ключа
• Протокол RADIUS
• Заключение

Введение

В наше время следует уделять большое внимание обеспечению безопасности в своей организации. Если у вас маленькая компания, которая состоит из пяти компьютеров с клиентскими операционными системами без серверной инфраструктуры, то вы можете стать легкой добычей для злоумышленников. В средних и крупных компаниях помимо защиты инфраструктуры при помощи антивирусного программного обеспечения, брандмауэров, шифрования и прочего, целесообразно развертывать серверы защиты доступа к сети. В первой статье, посвященной технологии «Защита доступа к сети» было рассказано о типичных сценариях обеспечения безопасности инфраструктуры организации, а также вкратце было рассмотрено назначение технологии NAP, агентов и политики работоспособности. Помимо этого я указал пять технологий, к которым можно применять политики работоспособности защиты доступа к сети для обеспечения дополнительной защиты компании. Как я уже упомянул в предыдущей статье, защита доступа к сети является платформой для проверки работоспособности систем, предоставляющей двухстороннюю защиту, как для клиентских компьютеров, так и для сети организации, путем обеспечения соответствия подключаемых к сети компьютеров, тем требованиям организации, которые указаны в политиках сети и работоспособности клиента. Стоит обратить внимание на то, что данная технология впервые появилась в серверной операционной системе Windows Server 2008, а ранее подключения клиентских компьютеров проходили через прокси-серверы или серверные межсетевые экраны лишь с применением определенных портов, соответствующих требованиям безопасности. Но если злоумышленникам удавалось обходить эти меры безопасности, сеть организации могла оказаться под существенной угрозой. Соответственно, серверы NAP позволяют существенно понизить вероятность заражения инфраструктуры безопасности, исходящей от злоумышленников.

Но данную технологию невозможно развернуть в организации, в которой еще не спланирована и не развернута никакая сетевая инфраструктура. Перед тем как развертывать сервера защиты доступа к сети, вам необходимо тщательно спланировать и развернуть такие технологии как доменные службы Active Directory, групповые политики, инфраструктуру открытого ключа, а также протокол Radius (Remote Authentication Dial-In User Service). Разумеется, в зависимости от технологии, к которой должна применяться защита доступа к сети, вам нужно будет спланировать и развертывать другие технологии, такие как DHCP-сервер или серверы удаленных рабочих столов (ранее известные, как терминальные сервера). В этой статье речь пойдет об основных требованиях и решениях, которые необходимо развернуть в организации до развертывания технологии «Защита доступа к сети», а именно, вкратце будут рассмотрены таких технологии как доменные службы Active Directory, групповые политики, инфраструктура открытого ключа, а также протокол RADIUS.

Доменные службы Active Directory

По сути, Active Directory представляет собой распределенную базу данных, которая хранит сведения о сетевых ресурсах, а также данные из приложений, поддерживающих Active Directory. Доменные службы Active Directory целесообразно разворачивать в организациях среднего и крупного бизнеса для обеспечения идентификации, доступа, упрощения управления и аудита пользователями и ресурсами, а также для создания масштабируемой, безопасной и управляемой инфраструктуры. Несмотря на все вышеперечисленное, основным назначением доменных служб Active Directory выступает обеспечение идентификации и доступа для сетей организации. Соответственно, основной задачей идентификации и доступа (Identity and Access, IDA) Active Directory является хранение информации о таких принципалах безопасности как учетные записи пользователей, групп, компьютеров, а также прочих объектов, которые могут принимать какие-либо действия в жизнедеятельности организации. К такой информации может относиться ФИО пользователя, пароль, его отдел, номер телефона, а также идентификатор безопасности (Security Identifier, SID), идентифицирующий учетную запись объекта, устанавливаемый при создании каждой учетной записи.

Для того чтобы пользователю был предоставлен доступ к сети и ресурсам организации, контроллер домена Active Directory требует проходить проверку подлинности объектов идентификации, во время которой необходимо предоставить такую информацию, как имя учетной записи и пароль. После предоставления данных, они будут сравниваться с информацией, которая расположена в самом хранилище объектов идентификации. Например, для того чтобы пользователь из отдела продаж получил доступ к документу маркетингового отдела, расположенного на файловом сервере, ему следует выполнить вход в домен со своей учетной записи и попробовать открыть документ. В это время инфраструктура идентификации и доступа сравнивает объект идентификации пользователя с объектами, предоставленными в списке контроля доступа (Access Control List, ACL) и управляющая им подсистема безопасности определяет, нужно ли предоставить или запретить такому пользователю доступ к объекту, в данном случае, папке с документами. Можно сделать такой вывод, что помимо указанных ранее задач, IDA также управляет доступом к объектам, обеспечивая защиту конфиденциальных данных организации. Файлы данных Active Directory хранятся в файле Ntds.dit, а также журналах транзакций, которые можно найти на контроллере домена в папке %SystemRoot%\NTDS.

Доменные службы Active Directory не являлись бы основополагающей ролью инфраструктуры безопасности, если бы отвечали только за идентификацию и доступ объектов сетей компании. Помимо указанной выше ключевой задачи, Active Directory поддерживает:

• определенную схему, которая представляет собой набор правил, определяющих классы объектов и атрибуты, содержащиеся в каталоге, а также ограничения, пределы для экземпляров этих объектов, формат их имен и многое другое. Стоит отметить, что все объекты в доменных службах Active Directory считаются экземплярами класса;
• службы репликации, которые распространяют данные каталогов по сети организации, включая хранилище данных, конфигурации и прочее. Все контроллеры домена в рамках своего домена являются участниками репликации и содержат полную копию всей информации каталога для своего домена;
• хозяев операций - контроллеры домена, выполняющие определенную роль, которая назначается лишь одному контроллеру домена. Использование операций с единственным мастером предотвращает возникновение конфликтных ситуаций в тех случаях, когда мастер операции отключен. Мастер роли (Flexible Single Master Operation, FSMO) должен быть доступен в то время, когда на уровне домена или леса выполняются зависящие от него действия. Доменные службы Active Directory содержат пять ролей мастеров операций, которые могут быть определены во время установки контроллера домена Active Directory;
• глобальный каталог (Global Catalog или GC), который представляет собой репозиторий распределенных данных, хранящий неполную реплику только для чтения о каждом объекте, а также облегчает поиск в лесу Active Directory. Глобальный каталог хранится на контроллерах домена, которые назначены в качестве серверов глобального каталога и распространяется посредством репликации с множеством равноправных участников.

Помимо этих возможностей можно отметить такие возможности как делегирование административных полномочий, контроллеры домена с правами только для чтения, доверительные отношения между доменами и многое другое.

Групповая политика

В любой организации системные администраторы обязаны обеспечить своих пользователей и компьютеры своего предприятия безопасными настройками, которыми можно централизовано управлять и развертывать. Обычно в организациях вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Именно объекты групповой политики позволяют вам рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и заканчивая сайтами и доменами.

Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object). Групповые политики являются компонентом операционной системы Windows и основываются на тысячах отдельных параметров политик, иначе говоря, политик, определяющих определённую конфигурацию для своего применения.

В домене Active Directory все объекты групповой политики создаются и управляются при помощи административной оснастки консоли управления Microsoft (ММС) «Управление групповой политикой». Групповая политика в Windows Server 2008 и Windows Server 2008 R2 предусматривает много возможностей, позволяющих снизить стоимость управления компьютерными системами. Параметры политик пользователей и компьютеров объединяются в группы, которые используются на различных уровнях в иерархии Active Directory. С помощью групповой политики, параметры конфигурации можно применять к некоторым или ко всем компьютерам и пользователям в организации.

Оснастка «Управление групповой политикой» представляет собой оснастку консоли управления Microsoft с поддержкой сценариев, предоставляющую административное средство управления групповой политикой в рамках предприятия. Оснастка «Управление групповой политикой» считается стандартным средством управления групповой политикой. Сама инфраструктура групповой политики основана на архитектуре клиент-сервер с компонентами клиента и сервера и включает в себя модуль групповой политики, являющийся основой для обработки общих функциональных параметров административных шаблонов, а также определенных компонентов, создаваемых расширениями клиентской стороны (Client-Side Extension, CSE). Расширения клиентской стороны интерпретируют параметры в объекты групповой политики и вносят соответствующие изменения в конфигурацию компьютера или пользователя. Такие расширения относятся ко всем основным категориям параметров политики. Другими словами, одно расширение клиентской стороны предназначено для установки программного обеспечения, другое – применяет изменения безопасности, третье – обеспечивает автоматическую настройку компьютеров, подключенных к проводной сети и так далее. В разных версиях операционной системы присутствуют конкретные расширения клиентской стороны, причем, с каждой последующей версией Windows функционал групповой политики пополнялся новыми расширениями CSE.

Инфраструктура открытого ключа

Инфраструктура открытого ключа (Public Key Infrastructure, PKI) является самой сложной и требующей максимальной ответственности технологией, связанной с развертыванием серверов защиты доступа к сети. Инфраструктура PKI представляет собой систему цифровых сертификатов, центров сертификации, а также других центров регистрации, предоставляющих всем участникам ключи шифрования и услуги по их аутентификации. Эта инфраструктура основывается на наборе технологий, предоставляющих для организаций возможности использования шифрования на основании открытых ключей, где связанные пары состоят из открытого и закрытого ключа, используемых для шифрования и расшифровки. Такая ситуация, когда требуются два ключа, называется асимметрическим шифрованием. В этом случае, как было замечено ранее, первый ключ является закрытым или секретным, то есть, безопасно сохраняемым пользователем, для которого был выпущен сам цифровой сертификат, а второй ключ – открытый, который будет передаваться другим пользователям и компьютерам. Соответственно, данные, зашифрованные одним ключом, должны расшифровываться только другим ключом. Но, несмотря на то, что для инфраструктуры открытого ключа требуется использование открытого и закрытого ключа, стоит помнить, что в сертификате применяется только открытый ключ, что позволяет ему быть всеобще распределенным и доступным для проверки. А сам секретный ключ хранится лишь на локальном компьютере или в ключе-приложении (в операционных системах Windows, секретные ключи хранятся в профилях пользователей).

Сейчас инфраструктура открытого ключа применяется практически в каждой организации. Сами цифровые сертификаты могут быть использованы для предоставления безопасных коммуникаций на веб-сайтах, для шифрования электронной почты, для защиты беспроводных коммуникаций, файловой системы шифрования, виртуальных частных сетей и многого другого. Вполне очевидно, что для реализации такой сложной технологии в организации необходимо тщательно планировать, развертывать и контролировать такую инфраструктуру. В Windows-системах за реализацию технологии инфраструктуры открытого ключа отвечает служба сертификации Active Directory, которую можно назвать обязательной частью структуры Active Directory, предоставляющей настраиваемые услуги выдачи сертификатов открытого ключа, используемых в программных системах безопасности, применяющих технологии открытых ключей, и управления этими сертификатами.

Для самой инфраструктуры PKI можно выделить несколько основополагающих компонентов:

• Цифровые сертификаты. Как уже было замечено ранее, это электронные учетные данные, в которых содержится открытый ключ, применяемый при подписи и шифровании данных, а также информация о субъекте, запрашивающем сертификат;
• Центры сертификации. Компонент инфраструктуры открытого ключа, выдающий сертификаты для пользователей и компьютеров. Следует отметить, что внутри организаций можно использовать как внешние, так и внутренние центры сертификации. Разумеется, если развернуть внутренний центр сертификации при помощи служб сертификации Active Directory, стоимость реализации будет существенно ниже, так как на выдачу каждого сертификата внутри организации не будут израсходованы дополнительные средства;
• Списки отозванных сертификатов. Список сертификатов, которые были отозваны администратором до окончания их срока действия. Это может быть связано с тем, что сертификат мог оказаться ненадлежащим или скомпрометированным;
• Шаблоны сертификатов. При помощи созданных заранее шаблонов у вас есть возможность контролировать процесс создания самих сертификатов, автоматически задавая предустановленные характеристики;
• Хранилища сертификатов. Размещения, в которых сертификации могут выдаваться и храниться в будущем. В данном случае, это служба Active Directory, что является самым подходящим расположением в середе домена для публикации сертификатов, выпускаемых центрами сертификации Windows;
• Политики сертификатов. Представляют собой документы, описывающие использование центра сертификации и его сертификатов, а также степени доверия. В Windows-среде следует обратить внимание на веб-службы политик регистрации сертификатов, которая дает возможность пользователям и компьютерам получать сведения о политиках регистрации сертификатов, а также позволяет регистрировать сертификаты на основе политик в случае, если клиентский компьютер не является членом домена или член домена не подключен к домену.

Службы сертификации Active Directory включают поддержку всех указанных выше компонентов, а также предоставляют такие возможности как службу сетевого ответчика, принимающую запросы состояния отзыва для конкретных сертификатов, процесса автоматической регистрации сертификатов, архивацию, восстановление ключей и многое другое.

Протокол RADIUS

Сервер политики сети, совместно с технологией «Защита доступа к сети», реализован в соответствии со стандартом RADIUS (Remote Authentication Dial-In User Service). Этот стандарт предназначен для поддержки проверки подлинности, авторизации и учета подключений для разнообразных служб и различных клиентов и серверов доступа, включая доступ к VPN, пользователей беспроводного доступа, подключения между маршрутизаторами и прочее. Настроив Windows Server в качестве RADIUS-сервера, вы можете отконфигурировать различный набор оборудования, например, сети VPN, точки беспроводного и удаленного доступа для пересылки запросов проверки подлинности на RADIUS-сервер. Для проверки подлинности пользователей, в качестве решения для базы данных учетных записей пользователей единого входа, сервер политики сети использует службу каталогов Active Directory. RADIUS-серверу должен быть предоставлен полный доступ к сведениям учетных записей пользователей, так как именно он будет отвечать за проверку подлинности и предоставлять доступ к сети организации. В том случае, если учетные данные авторизирующегося пользователя являются валидными и этот пользователь проходит этап проверки подлинности, RADIUS-сервер авторизует доступ данного пользователя с учетом указанных условий и заносит сведения о подключении в журнал учета.

Для проверки подлинности, авторизации и учета, в инфраструктуру RADIUS-протокола входят следующие компоненты:

• RADIUS-сервер. RADIUS-сервером называется устройство, предназначенное для получения и последующей обработки запросов проверки подлинности, авторизации и учета, отправляемых RADIUS-клиентами. В свою очередь, для RADIUS-сервера, клиентами могут выступать как серверы доступа, которые являются непосредственно RADIUS-клиентами, так и RADIUS-прокси. На основании созданного заранее набора правил, RADIUS-сервер или выполняет проверку подлинности и авторизацию подключения, или же направляет обратно сообщение отказа в доступе. Помимо центральной службы проверки подлинности и авторизации для запросов на доступ, отправляемых RADIUS-клиентами, RADIUS-сервер также предоставляет центральную службу ведения учета для всех отправляемых запросов на доступ;
• RADIUS-прокси. RADIUS-прокси представляет собой сервер политики сети или другое устройство, обеспечивающее маршрутизацию RADIUS-сообщений между RADIUS-клиентами и RADIUS-сервером, выполняющим проверку подлинности или другими RADIUS-прокси;
• RADIUS-клиенты (также называемые «Серверами доступа»). Несмотря на то, что у RADIUS-клиентов название созвучное с клиентскими компьютерами, выполняющими проверку подлинности на RADIUS-сервере, на самом деле это не так. RADIUS-клиентом называются такие серверы сетевого доступа как VPN-сервер, точки беспроводного доступа, серверы удаленного доступа к сети, а также коммутаторы проверки подлинности 802.1Х, которые используют протокол RADIUS для перенаправления на RADIUS-сервер учетных данных пользователя и сведения о параметрах соединения в форме RADIUS-сообщения;
• Клиенты доступа. Клиентами доступа называются устройства, которые запрашивают доступ определенного уровня. К таким устройствам можно отнести конечных пользователей, которые являются клиентами виртуальной частной сети, беспроводного доступа, удаленного доступа или клиенты сети, подключенные к коммутатору;
• RADIUS-учет. RADIUS-учет представляет собой базу данных учетных записей пользователей, которая включает в себя список учетных записей пользователей, используемых RADIUS-сервером при проверке учетных данных, содержащих данные для авторизации и сведения о параметрах подключения. Данные учета RADIUS могут храниться в журнале событий, используемом для аудита подключения, записи запросов на проверку подлинности данных в локальном файле или в базе данных Microsoft SQL сервер.

Заключение

В этой статье было рассказано о технологиях, которые вам предстоит тщательно спланировать и развернуть, перед тем как начать развертывание роли «Службы политики сети и доступа», куда, собственно и входит «Сервер политики сети». Одной из основных технологий является технология доменных служб Active Directory, предназначенная для обеспечения идентификации, доступа, упрощения управления и аудита пользователями и ресурсами. Также вкратце были рассмотрены групповые политики, представляющие собой набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации, инфраструктура открытого ключа, позволяющая управлять системой цифровых сертификатов, а также протокол RADIUS, предназначенный для поддержки проверки подлинности, авторизации и учета подключений для разнообразных служб и различных клиентов и серверов доступа.