В этом упражнении Вы будете активировать одну из встроенных политик IPSec для защиты трафика между двумя компьютерами. В качестве базового метода аутентификации политики по умолчанию используют проверку подлинности Kerberos. Поскольку оба компьютера являются членами домена Windows 2000, потребуется минимальные конфигурационные изменения.
Для активации политики на компьютере HQ-RES-WRK-01
1.
В созданной Вами ранее консоли MMC выберите на левой панели Политики безопасности IP на «Локальный компьютер» (IP Security Policies on Local Machine). На правой панели будут отображены три элемента: Клиент (Только ответ) (Client), Безопасность сервера (Требовать безопасность) (Secure Server) и Сервер (Запрос безопасности) (Server).
2.
Щелкните правой кнопкой мыши на элементе Безопасность сервера (Требовать безопасность) (Secure Server) и выберите Назначить (Assign). Состояние в колонке Назначенная Политика (Policy Assigned) должно измениться с Нет (No) на Да (Yes).
3.
Повторите этап 1 на компьютере HQ-RES-WRK-02. Щелкните правой кнопкой мыши на элементе Клиент (Только ответ) Client и затем выберите Назначить (Assign). Состояние в колонке Назначенная политика (Policy Assigned) изменится с Нет (No) к Да (Yes).
Теперь первый компьютер (HQ-RES-WRK-01) выступает в качестве сервера безопасности, а второй (HQ-RES-WRK-02) – в качестве клиента. Если клиент первым попытается отправить открытым текстом (незащищенные) эхо-пакеты ICMP (используя утилиту ping) на сервер, то сервер потребует безопасности от клиента, и после ее установления последующие соединения будут защищенными. Если бы сервер выступил инициатором команды ping, то отправленные эхо-пакеты были бы защищены перед их отсылкой сервером. Если бы клиентский компьютер также использовал политику сервера безопасности, то он бы не отправил незащищенные эхо-пакеты, как, впрочем, и любой другой трафик. Все же желательно, установить защиту IPSec, до начала передачи данных приложениями. Если же оба компьютера используют политики клиента, то данные не будут защищены, поскольку ни одна из сторон не потребует безопасности.
4.
На компьютере HQ-RES-WRK-02 нажмите Пуск (Start), нажмите Выполнить (Run), введите cmd в текстовом поле и нажмите OK. Напечатайте ping IP1 (IP-адрес компьютера HQ-RES-WRK-01). В этом примере IP1 равен 10.10.1.5. Как изображено ниже на Рисунке 2, результаты команды ping указывают, что выполняется согласование IPSec.
Рисунок 2 – Результаты команды ping указывают на установление IPSec
5.
Восстановите свернутое ранее окно монитора IP-безопасности (IP Security Monitor). Вы должны увидеть детали сопоставления безопасности (Security Association), которое используется между двумя компьютерами, а также статистику о полученных и отправленных проверенных (Authenticated) и секретных (Confidential) байтов.
6.
Повторите команду ping. Теперь между этими двумя компьютерами установлено сопоставление безопасности IPSec, и Вы должны будете успешно получить ответы команды ping, как показано на Рисунке 3. В этом примере IP1 равен 10.10.1.5.
Рисунок 3- Успешные ответы команды ping
7.
Продолжая работать на компьютере HQ-RES-WRK-02, на левой панели MMC раскройте узел Управление компьютером (Computer Management), щелкнув соответствующий значок [+], затем раскройте узел Служебные программы (System Tools), раскройте узел Просмотр событий (Event Viewer) и щелкните по журналу Безопасность (Security Log). Щелкните дважды по наиболее свежей записи в журнале, имеющей тип Аудит успехов (Success Audit), расположенной на правой панели.
8.
Вы должны увидеть информацию о событии установленного сопоставления безопасности IPSec. Используйте полосу прокрутки для просмотра описания. Содержание этой записи должно быть аналогично изображенной ниже (имя компьютера и IP-адрес конечно будут отличаться в зависимости от конфигурации Вашей сети):
Установлено сопоставление безопасности IKE Режим: Режим защиты данных (быстрый режим) Идентификация: Kerberos: hq-res-wrk-01$@RESKIT.COM IP-адрес узла: 10.10.1.5 Фильтр: Исходный IP-адрес 10.10.1.6 Исходная маска IP-адреса 255.255.255.255 Конечный IP-адрес 10.10.1.5 Конечная маска IP-адреса 255.255.255.255 Протокол 0 Исходный порт 0 Конечный порт 0 Параметры: ESP алгоритм DES CBC HMAC алгоритм SHA AH алгоритм Нет Инкапсуляция Режим транспорта Входящий SPI <a large number>1128617882 Исходящий SPI <a large number>865899841 Срок жизни (sec) 900 Срок жизни (kb) 100000
Итак, Вы успешно установили и сконфигурировали протокол IPSec между двумя компьютерами.
Влияние политики безопасность сервера на компьютер
Только клиенты IPSec, имеющие возможность устанавливать безопасные подключения, могут взаимодействовать с компьютером – сервером безопасности. Кроме того, сервер безопасности не будет иметь возможности взаимодействовать с другими системами, например, с DNS-серверами, конечно, если они не используют защищенную передачу данных IPSec. Поскольку многие службы работают в фоновом режиме, то, вероятно, им будет отказано в подключении и будет создана соответствующая запись в журнале событий. Это нормальная ситуация, поскольку политика Безопасность сервера (Secure Server) очень строгая и требует, чтобы в сети практически все IP-пакеты были защищенными. Для реального использования в рабочем окружении Вы должны создать такую пользовательскую политику, которая будет соответствовать Вашим требованиям: топологии сети и конкретным приложениями, которые используют сервер.
Разрешение клиентам, не использующим IPSec, взаимодействовать с сервером
Для разрешения клиентам, не использующим IPSec, также взаимодействовать с сервером, Вы должны назначить политику Сервер (Запрос безопасности) (Server) вместо политики Безопасность сервера (Требовать безопасность) (Secure Server). Эта политика хотя и требует безопасность, но разрешает незащищенное взаимодействие с клиентами, допуская передачу сообщений открытым текстом, если клиент не ответил на запрос согласования IKE, если же клиент ответил на запрос IKE согласования, то согласование будет выполнено. Если согласование не выполнено, соединение будет блокировано на одну минуту, по истечении которой будут повторены попытки выполнить согласование. Подробное объяснение настроек, используемых для контроля этого способа, смотрите в разделе «Конфигурирование действия фильтров IPSec».
Отмените использование следующих политик: Клиент (Только ответ) (Client), Безопасность сервера (Требовать безопасность) (Secure Server) или Сервер (Запрос безопасности) (Server) для возвращения Ваших компьютеров в исходное состояние. Для этого щелкните правой кнопкой мышки по используемой политике на правой панели консоли (находящейся в узле Политики безопасности IP на «Локальный компьютер» (IP Security Policies on Local Machine)) и нажмите Снять (Unassign).
В предыдущем разделе мы использовали одну из встроенных политик IPSec для защиты передачи данных между двумя компьютерами, принадлежащих домену. Если Вам необходимо защитить передачу данных между компьютерами, которые не входят в домен, то Вам понадобится создать собственную политику, поскольку встроенные политики требуют проверку подлинности Kerberos, предоставляемую контроллером домена. Имеются и другие причины необходимости создания пользовательской политики, например, если Вам необходимо защитить передаваемые данные на основе сетевых адресов. В этом разделе мы будем создавать пользовательские политики, вначале определяя правила безопасности, затем – список фильтров, а в конце – действия фильтров.
Конфигурирование политики IPSec
Перед конфигурированием метода проверки подлинности IPSec (IPSec Authentication Method) списка фильтров (Filter List) или метода согласования (Negotiation method) Вы сначала должны создать новую политику.
Чтобы создать политику IPSec
1.
На компьютере HQ-RES-WRK-01 в консоли MMC щелкните правой кнопкой мыши по узлу Политики безопасности IP на «Локальный компьютер» (IP Security Policies on Local Machine), затем нажмите Создать политику безопасности IP (Create IP Security Policy). Отобразится Мастер политики IP-безопасности (IP Security Policy Wizard).
2.
Нажмите кнопку Далее (Next).
3.
Введите Partner в качестве названия Вашей политики и нажмите кнопку Далее (Next).
4.
Снимите флажок Использовать правило по умолчанию (Activate the default response rule) и нажмите кнопку Далее (Next).
5.
Убедитесь, что установлен флажок по умолчанию Изменить свойства (Edit Properties), и нажмите кнопку Готово (Finish).
6.
В диалоговом окне созданной Вами политики убедитесь, что установлен флажок Использовать мастер (Use Add Wizard), расположенный в нижнем правом углу, и затем нажмите кнопку Добавить (Add) для запуска Мастера правил безопасности (Security Rule Wizard).
7.
Нажмите кнопку Далее (Next) для продолжения работы Мастера правил безопасности (Security Rule Wizard), запущенного на предыдущем шаге.
8.
Убедитесь, что переключатель установлен в положение по умолчанию Это правило не определяет туннель (This rule does not specify a tunnel). Нажмите Далее (Next).
9.
Убедитесь, что переключатель установлен в положение Все сетевые подключения (All network connections). В это положение переключатель установлен по умолчанию. Нажмите кнопку Далее (Next).
Конфигурирование Метода проверки подлинности IKE (IKE Authentication Method)
Далее Вы должны указать, каким образом будет организовано доверие между компьютерами, определив, как они будут подтверждать свою подлинность, и как они будут проверять подлинность другого компьютера при попытке установить сопоставление безопасности. В Windows 2000 обеспечивается три метода проверки подлинности IKE для установления доверительных отношений между компьютерами:
•
Аутентификация Kerberos v5 обеспечивается доменом Windows 2000, который выступает в качестве центра распространения ключей Kerberos v5 (Key Distribution Center). Kerberos обеспечивает безопасные взаимодействия между компьютерами, работающими под управлением Windows 2000 и принадлежащими домену, а также доменам, с которыми установлены доверительные отношения. IKE использует только свойства проверки подлинности Kerberos. Генерация ключей для сопоставления безопасности IPSec выполняется с использованием методов, описанных в RFC 2409. Эти методы также описаны в документе draft-ietf-ipsec-isakmp-gss-auth-02.txt.
•
Подписи открытого/закрытого ключа, используют сертификаты, совместимые с системами сертификатов различных производителей, таких как Microsoft, Entrust, VeriSign и Netscape.
•
Предварительные ключи проверки подлинности (которые являются паролями) используются только для установления доверительных отношений между компьютерами.
В этом упражнении Вы будете использовать предварительные ключи проверки подлинности. Два компьютера, участвующие в коммуникациях в ролях отправителя и получателя, должны знать кодовое слово, которое используется для установки доверительных отношений. Этот пароль не используется для шифрования передаваемых данных. Этот пароль используется только при согласовании, чтобы установить, доверяют ли компьютеры друг другу. Согласование IKE использует этот пароль, но не передает его через сеть. Однако ключи проверки подлинности хранятся открытым текстом в политике IPSec. Любой пользователь с достаточными правами доступа к компьютеру (или любой обладающий корректным идентификатором пользователя для компьютера, принадлежащего домену, в котором политика IPSec хранится в службе каталогов Active Directory) может узнать этот ключ проверки подлинности. Администратор домена должен настроить контроль доступа к каталогу политики IPSec таким образом, чтобы предотвратить возможность просмотра политики IPSec. Вследствие этого корпорацией Microsoft не рекомендуется использовать предварительные ключи при проверке подлинности IPSec, за исключением либо тестирования, либо в случаях, необходимых для обеспечения взаимодействия с реализациями IPSec сторонних производителей. Корпорацией Microsoft рекомендуется использовать либо Kerberos, либо проверку подлинности с использованием сертификатов вместо применения предварительных ключей.
Для конфигурирования метода проверки подлинности по правилу
1.
Выберите Использовать данную строку для защиты обмена ключами (Use this string to protect this key exchange) и введите ABC123. Вы не должны использовать пустую строку. Нажмите кнопку Далее (Next).
Примечание. Если Вам потребуется при проверке подлинности использовать сертификаты, изучите соответствующие инструкции о получении сертификатов с публичных серверов сертификатов корпорации Microsoft, доступных в Интернет.
Конфигурирование списка фильтров IPSec
Безопасность IP организованная на уровне IP-пакетов применяется при их отправке и получении. При отправке пакетов на основе исходящих фильтров определяется требуемое действие: должен ли пакет быть зашифрован, блокирован или отправлен открытым текстом. Также и при получении пакетов на основании входящих фильтров определяется, какие пакеты должны были быть зашифрованы, блокированы, или приняты компьютером. Имеется два типа фильтров: первый управляет безопасностью транспортного режима IPSec, второй – безопасностью туннельного режима IPSec. Туннельные фильтры имеют более высокий приоритет и применяются первыми, а затем, если не применены другие параметры, будут использованы фильтры транспортного режима. Некоторые типы IP-трафика не могут быть защищены с помощью транспортных фильтров. В их число входят следующие типы трафика:
•
Широковещательные адреса, обычно заканчивающиеся на .255 с соответствующей маской подсети.
•
Групповые адреса из диапазона 244.0.0.0-239.255.255.255.
•
Протокол RSVP-IP тип 46. Это позволяет RSVP определить запрос QoS (Quality of Service) для трафика, используемого приложениями, который также может быть защищен IPSec.
•
88 порт UDP, используемый протоколом Kerberos, который сам по себе является защищенным протоколом и который используется в IPSec при согласовании IKE при аутентификации других компьютеров в домене.
•
500 порт UDP, используемый службой IKE. Этот порт используется при согласовании параметров IKE для безопасности IPSec.
Эти исключения распространяются на фильтры транспортного режима IPSec. Фильтры транспортного режима применяются к пакетам, относящимся к конкретному узлу (хосту), в которых в качестве адреса указан адрес отправителя – компьютера, отправившего пакет, или адрес получателя – компьютера, получившего пакет. Туннели IPSec могут применяться только для защиты одноадресной передачи данных. Фильтры, используемые для туннелей IPSec, должны быть основаны только на адресах, а не на значениях портов или типах протоколов. Если туннельный фильтр основан на конкретном порте или протоколе, то в таком случае фрагменты исходного пакета не будут переданы через туннель, и в результате этого весь пакет будет потерян. Если одноадресные пакеты Kerberos, IKE или RSVP получены на одном интерфейсе и маршрутизируются через другой интерфейс (используя службу маршрутизации и удаленного доступа (Routing and Remote Access Service) или пересылку пакетов), то они не будут исключены из фильтров туннельного режима IPSec и, соответственно, будут переданы через туннель. Фильтры туннельного режима IPSec не могут использоваться при фильтрации широковещательных или групповых пакетов, поскольку такие пакеты не могут быть переданы через туннели IPSec.
Индивидуальные фильтры группируются в объекты – списки фильтров, которые используются для разрешения сложных моделей передачи данных. Эти списки группируются и управляются не индивидуально, а единым объектом – списком фильтров, например «Файл-серверы здания №7» или «Весь блокируемый трафик». Списки фильтров могут совместно использоваться различными правилами IPSec как в пределах одной политики, так и различными IPSec-политиками.
При конфигурировании IP-фильтров для защищенного трафика всегда убеждайтесь, что установлен флажок Отраженный (Mirrored) в диалоговом окне свойств фильтра. Отражение фильтров конфигурируется автоматически как для входящих, так и для исходящих фильтров. Вы будете конфигурировать фильтры на компьютерах, для которых настраивается защищенное соединение. Вы должны сконфигурировать исходящий фильтр, указав Ваш IP-адрес в качестве адреса источника и адрес приемника в качестве адреса назначения. Затем в процессе автоматической настройки отраженного входящего фильтра адрес компьютера Вашего партнера будет определен в качестве адреса источника, а адрес Вашего компьютера – в качестве адреса назначения. В примере, описанном ниже, будет определен только один отраженный список фильтров для сконфигурированного списка фильтров.
Один и тот же список фильтров потребуется определить на обоих компьютерах.
Чтобы сконфигурировать список IP-фильтров
1.
В диалоговом окне Список фильтров IP (IP Filter List) нажмите кнопку Добавить (Add). Отобразится пустой список IP-фильтров. Введите имя Вашего фильтра Partner Filter.
2.
Убедитесь, что установлен флажок Использовать мастер (Use Add Wizard), расположенный в правой части окна, и нажмите кнопку Добавить (Add). Будет запущен Мастер фильтров IP (IP Filter Wizard).
3.
Нажмите кнопку Далее (Next) для продолжения.
4.
Из списка исходных адресов выберите Мой IP-адрес (My IP Address), который используется по умолчанию в качестве адреса источника, и нажмите кнопку Далее (Next).
5.
Из выпадающего списка адреса назначения выберите Определенный IP-адрес (A Specific IP address), введите IP-адрес второго компьютера и затем нажмите кнопку Далее (Next).
6.
Выберите тип протокола Любой (Any) и нажмите Далее (Next).
7.
Убедитесь, что отсутствует флажок в поле Изменить свойства (Edit Properties) (это настройка по умолчанию), и нажмите кнопку Готово (Finish).
8.
Закройте диалоговое окно Список фильтров IP (IP Filter List), нажав кнопку Закрыть (Close). Вы вернетесь в Мастер правил безопасности (New Rule Wizard).
9.
В диалоговом окне Списки фильтров IP (IP Filter List) установите переключатель в позицию Partner Filter.
Рисунок 4 – Выбор фильтра Partner
10.
Нажмите кнопку Далее (Next).
Прочтите следующий раздел перед выполнением процедуры конфигурирования действия фильтров.
Конфигурирование действий фильтров IPSec
У Вас есть только что сконфигурированные входящий и исходящий фильтры для соответствующих TCP/IP пакетов. На следующем этапе необходимо определить действия, применяемые для этих пакетов. Вы можете разрешить, заблокировать или защитить пакет в соответствии с настройками фильтров. Если Вам необходимо защитить передачу данных, оба компьютера должны иметь совместно сконфигурированные политики согласования. Настройки фильтров по умолчанию отлично подходят для проверки различных возможностей протокола IPSec. Если Вам необходимо протестировать специальные возможности, Вы должны создать свое собственное новое действие фильтра.
Существует следующие два способа разрешения взаимодействий с компьютерами, которые не используют IPSec:
•
Использование действия фильтра Разрешить (Permit) допускает незащищенную передачу пакетов открытым текстом. Используйте это действие в фильтре, который соответствует разрешенному Вами трафику и используется в Вашем собственном правиле IPSec-политики. Обычно разрешенный трафик используется для таких протоколов как ICMP, DNS и SNMP, либо для разрешения передачи данных конкретного направления, например, на шлюз по умолчанию, на серверы DNS и DHCP или другие системы, которые не используют IPSec.
•
· Конфигурирование действия Вашего фильтра с использованием настройки Использовать небезопасное соединение (Fall back to unsecured communication). С этой опцией Вы встретитесь в мастере. При выборе этой опцию в мастере, в фильтре будет установлен параметр Разрешить связь с компьютерами не поддерживающими IPSec (Allow unsecured communication with non-IPSec aware computer), который разрешает небезопасное соединение с компьютерами, которые не используют IPSec. Применение этой настройки допускает незащищенные соединения с адресатом, понижая при этом уровень безопасности до передачи пакетов открытым текстом, если адресат не ответил на запрос согласования IKE. Если в другой раз клиент ответит на запрос согласования IKE, то процесс согласования будет выполнен и передача данных будет защищена. Если IKE-согласование не было успешно выполнено, то исходящие пакеты, соответствующие фильтру, будут отброшены (заблокированы) на одну минуту, после чего при отправке других пакеты будет произведена попытка выполнить IKE-согласование. Эта настройка влияет только на IKE-согласование, инициируемое компьютером. Она не влияет на компьютер, получающий запросы и, следовательно, на отправку ответов. В документе RFC 2409 не определена методика IKE-согласования того, какой режим будет использоваться (обычное согласование, незащищенный режим или режим открытого текста).
Чтобы сконфигурировать действие фильтра
1.
В диалоговом окне Мастера правил безопасности (Security Rule Wizard), изображенном на Рисунке 5, установите флажок в поле Использовать мастер (Use Add Wizard) и нажмите кнопку Добавить (Add).
Рисунок 5 – Убедитесь, что установлен флажок Use Add Wizard
2.
Для продолжения работы Мастера применения фильтра (Filter Action Wizard) нажмите кнопку Далее (Next).
3.
Введите название этого действия фильтра Partner Filter Action и нажмите Далее (Next).
4.
В диалоговом окне Общие параметры действия фильтра (Filter Action General Options) выберите Согласовать безопасность (Negotiate Security) и затем нажмите кнопку Далее (Next).
5.
На следующей странице мастера нажмите Не соединять с компьютерами, не поддерживающими IPSec (Do not communicate with computers that do not support IPSec) и нажмите кнопку Далее (Next).
6.
В списке методов безопасности выберите Средняя безопасность (AH) (Medium) и нажмите кнопку Далее (Next).
7.
Убедитесь, что отсутствует флажок в поле Изменить свойства (Edit Properties) (это настройка по умолчанию) и нажмите кнопку Готово (Finish) для завершения работы мастера.
8.
В диалоговом окне Действие фильтра (Filter Action) установите переключатель в позицию, соответствующую действию фильтра Partner Filter Action, и нажмите кнопку Далее (Next).
9.
Убедитесь, что отсутствует флажок в поле Изменить свойства (Edit Properties) (это настройка по умолчанию), и затем нажмите кнопку Готово (Finish).
Вы только что настроили действие фильтра, которое будет использоваться при согласовании с компьютером, с которым будет установлено защищенное соединение. Помните, что Вы можете также использовать действие этого фильтра и в других политиках.
10.
На отображенной странице Свойства (Properties) нажмите Закрыть (Close). Вы завершили настройку политики IPSec.
Перед началом использования фильтров Вы должны повторить все этапы этой процедуры на компьютере HQ-RES-WRK-02.
Тестирование Вашей пользовательской политики IPSec
После того, как Вы создали политику IPSec, Вы должны проверить ее перед применением в рабочем окружении.
Чтобы протестировать Вашу пользовательскую политику IPSec
1.
На левой панели консоли MMC выберите Политики безопасности IP на «Локальный компьютер» (IP Security Policies on Local Machine). Заметьте, что, в дополнение к трем встроенным политикам, только что сконфигурированная Вами политика Partner также будет отображена на правой панели.
2.
Щелкните правой кнопкой мыши на политике Partner и выберите Назначить (Assign) в контекстном меню. Состояние в колонке Назначенная политика (Policy Assigned) будет изменено с Нет (No) на Да (Yes). Выполните это действие на обоих компьютерах перед продолжением.
3.
Откройте окно командной строки и введите команду ping partners-ip-address (где partners-ip-address – ip-адрес второго компьютера). Вы должны получить четыре ответа Согласование используемого уровня безопасности IP (Negotiating IP Security). Повторите команду Ping еще раз. Вы должны получить четыре ответа, свидетельствующих об установленном соединении.
4.
Разверните окно Монитора IP-безопасности (IP Security Monitor), ранее свернутое Вами. Вы увидите подробности о сопоставлении безопасности (Security Association), которая сейчас используется между двумя компьютерами, а также статистику в виде количества переданных Проверенных (Authenticated) и Секретных (Confidential) байтов и многое другое. После этого сверните это окно.
5.
На левой панели консоли MMC выберите Управление компьютером (Computer Management), перейдите в Служебные программы (System tools), откройте Просмотр событий (Event Viewer) и откройте журнал Безопасности (Security). В журнале безопасности Вы должны увидеть зарегистрированное событие 541, которое сообщает об успешном сопоставлении безопасности IPSec.
6.
Повторите п.2 и отмените действие политики Partner тем самым, вернув оба компьютера в предыдущее состояние. Для этого щелкните правой кнопкой мышки на этой политике и нажмите Снять (Unassign).
Использование сертификатов для проверки подлинности
Реализация IPSec, представленная в Windows 2000, обеспечивает возможность выполнять проверку подлинности с использованием сертификатов при IKE-согласовании. Все подтверждение сертификатов выполняется с помощью API-криптографии (Cryptographic API, CAPI). При согласовании IKE будет определено, какие сертификаты будут использоваться, и какая защита будет применяться при обмене учетными данных сертификатов. Политикой IPSec определяется, какой корневой центр сертификации используется, а не конкретно используемый сертификат. Обе стороны должны иметь общий корневой центр сертификации в своих настройках политики IPSec.
Имеются следующие требования при использовании сертификатов для IPSec:
•
Сертификаты хранятся в учетной записи компьютера (в хранилище сертификатов).
•
Сертификаты содержат открытый ключ RSA, для которого имеется соответствующий закрытый ключ, который может быть использован для подписей RSA.
•
Сертификаты должны использоваться только в течение их срока действия.
•
Корневой центр сертификации является доверенным.
•
Модулем API-криптографии может быть выстроена действующая цепочка центров сертификации.
Эти требования являются лишь базовыми, и для IPSec и не требуется, чтобы сертификат компьютера был специального типа IPSec, поскольку присутствующие центры сертификации могут не иметь возможности выдавать сертификаты такого типа.
Получение сертификата от центра сертификации Microsoft для тестирования
Для начала Вы должны получить действующий сертификат с сервера сертификатов. Даже если у Вас есть другой сервер сертификатов и Вам необходимо будет использовать его впоследствии, получите сначала сертификат от центра сертификации Microsoft для тестирования. Также может быть использован любой действующий сертификат компьютера. Сертификаты пользователей не могут быть использованы. Авторами статьи была протестирована совместимость с такими системами сертификации, как Microsoft, Entrust, VeriSign и NetSсape.
Примечание. Не все серверы сертификатов автоматически обрабатывают запрос Вашего компьютера на сертификат. Сертификат должен появиться в хранилище сертификатов локальной учетной записи компьютера в разделе Личные (Personal), и иметься соответствующий сертификат корневого центра сертификации в разделе Доверенные корневые центры сертификации (Trusted Root Certification Authorities). В качестве дополнительной информации ознакомьтесь с материалами, описывающими центры сертификации на Web-сайте http://www.Microsoft.com/.
Чтобы получить сертификат
1.
Откройте Internet Explorer и перейдите на сайт центра сертификации. Если Вы ранее не получали сертификаты от публичных центров сертификации Microsoft, используйте веб-узел http://sectestca1.rte.microsoft.com/. Этот Web-сайт предоставляет доступ к четырем центрам сертификации. Для простоты в этой процедуре используется сертификат, выданный изолированным корневым центром сертификации sectestca3.
2.
Выберите Standalone Root (RSA 2048).
3.
Выберите Request a Certificate и нажмите Next.
4.
Выберите Advanced Request и нажмите Next.
5.
Выберите Submit a Certificate Request Using a Form.
В форме Advanced Certificate Request введите следующие данные:
•
Запрашиваемая и идентификационная информация: (заполняется по желанию).
•
Предполагаемая цель запрашиваемого сертификата: проверка подлинности клиента (Client Authentication) либо проверка подлинности сервера (Server Authentication).
Это значение определяет значение поля сертификата Расширенное использование ключа (Extended key usage). Так же имеется поле IPSec Certificate (Сертификат IPSec) для соответствия спецификации, разработанной группами по стандартам IETF. Вы должны использовать это поле, если Вам потребуется взаимодействовать с другими реализациями IPSec, для которых необходимо его использовать. Однако при проверке подлинности IPSec с помощью сертификатов в Windows 2000 используются любые действующие сертификаты учетной записи компьютера, это означает, что любое значение поля расширенного использования ключа (Extended key usage) будет приемлемо. Политики IPSec в Windows 2000 не ограничиваются использованием сертификатов типа IPSec. Если в папке личных сертификатов на локальной машине имеется множество сертификатов, должен быть выбран один из них. Этот сертификат должен удовлетворять следующему условию: в нем должен быть указан корневой центр сертификации, до которого возможно выстроить обратный доверительный путь.
•
Cryptographic Service Provider: Microsoft Base Cryptographic Provider v1.0.
•
Key usage: Signature.
•
Key size: 1024.
Если Вы в качестве поставщика службы криптографии выберете Microsoft Enhanced Cryptographic Provider, то Вы можете получить ключ большего размера. Однако запрос на регистрацию может быть не выполнен, поскольку необходимо, чтобы в используемой версии Windows 2000 был установлен пакет усиленной криптографии (Strong Cryptography Pack). Если этот сертификат планируется использовать при взаимодействии с другими реализациями IPSec, уточните, может ли данный IPSec-продукт стороннего производителя обрабатывать подписи, с размером ключа более 1024, поскольку некоторые продукты сторонних производителей могут иметь ограничение на размер ключа, используемого в политике IPSec.
Примечание. Данными настройками определяется, для каких целей используется ключ: либо только для шифрования данных, либо только для подписания. Текущая реализация IKE использует закрытые ключи сертификатов только для подписей. Следовательно, сертификаты, предназначенные для ограниченного использования (например, для шифрования данных) не будут работать. Могут быть применены сертификаты, используемые для шифрования данных и подписей.
•
Create new key set: enabled
•
Use local machine store: enabled
•
Дополнительные параметры: (заполняются по желанию)
•
Hash Algorithm: SHA1/RSA
6.
Отправьте запрос. Вы получите подтверждающее сообщение, что Вам был выдан сертификат.
7.
Нажмите Install this certificate.
8.
Вы получите сообщение о том, что сертификат был успешно установлен. Закройте обозреватель Internet Explorer.
9.
Откройте пользовательскую консоль MMC, описанную в начале данного руководства, в которую Вы добавили оснастку Сертификаты (Certificates).
Проверка того, что сертификат успешно за регистрирован
1.
В папке Личные (Personal) должно отображаться имя сертификата компьютера, которое Вы выбрали для тестирования IPSec.
2.
Раскройте корень Сертификаты (локальный компьютер) (Certificates (Local Computer)) нажав на соответствующий [+]. Раскройте папку Личные (Personal) щелкните по папке Сертификаты (Certificates). На правой панели Вы должны увидеть сертификат, который был выдан администратору (или другому пользователю, под именем которого Вы входили в систему).
3.
Щелкните дважды по сертификату, отображенному на правой панели. В диалоговом окне Сертификата должно быть отображено сообщение: Есть закрытый ключ, соответствующий этому сертификату (You have a private key that corresponds to this certificate). Обратите внимание на то, что в поле Кем выдан (Issued by) указывается имя центра сертификации (в нашем примере оно должно быть SectestCA3). Нажмите OK.
Примечание. Если в свойствах компьютерного сертификата указано: «Не имеется закрытого ключа соответствующего этому сертификату» (You do not have a private key that corresponds to the certificate), то это означает, что регистрация сертификата не была успешно выполнена, и сертификат не будет работать при проверке подлинности IPSec. Вы должны иметь закрытый ключ, соответствующий открытому ключу сертификата компьютера.
4.
Раскройте Доверенные корневые центры сертификации (Trusted Root Certificate Authorities) и щелкните на папке Сертификаты (Certificates). Прокрутите список и найдите в этом хранилище сертификат с соответствующим названием центра сертификации, указанным в колонке Кем выдан (Issued By).
5.
Повторите все шаги из этой процедуры для получения сертификата для второй машины, участвующей в тесте.
Примечание. Если сертификат был получен с сервера сертификатов Microsoft Certificate Server с опцией Strong Private Key Protection (усиленная защита закрытого ключа), пользователь должен будет вводить PIN-код для предоставления доступа к закрытому ключу всякий раз, когда закрытый ключ будет использоваться для подписи данных при согласовании IKE. Поскольку согласование IKE выполняется в фоновом режиме системной службой, то окно запроса PIN-кода не будет отображаться. Поэтому такой сертификат не может быть использован при согласовании IKE.
Определение правил проверки подлинности с помощью сертификатов
При создании нового правила Вы можете выбрать используемый центр сертификации. Перечень сертификатов центров сертификации указан в папке Доверенных корневых центров сертификации (Trusted Root Certificate Authorities), не путайте этот список со списком личных сертификатов Вашего компьютера. Эта спецификация корневого центра сертификации в правилах IPSec служит для двух целей. Во-первых, она обеспечивает IKE корневым центром сертификации, к которому установлено доверие. Службой IKE с Вашего компьютера будет отсылаться запрос корневому центру сертификации о действительности сертификата из этого корневого центра сертификации второго компьютера. Во-вторых, спецификацией центра сертификации определено имя корневого центра сертификации, которое будет использовать Ваш компьютер при осуществлении поиска собственных сертификатов в ответ на запрос со второго компьютера.
Предупреждение. Вы как минимум должны выбрать корневой центр сертификации, к которому может быть выстроена цепочка от сертификата Вашего компьютера, т.е. к центру сертификации самого верхнего уровня в пути сертификации компьютерного сертификата из хранилища Личные (Personal) Вашего компьютера.
1.
Вернитесь в папку Политики безопасности IP на «локальный компьютер» (IP Security Policies) в консоли MMC.
2.
Щелкните дважды на элементе политики Partner, расположенной на правой панели.
3.
Убедитесь, что выбрана опция Partner Filter и нажмите Изменить (Edit).
4.
Установите переключатель в положение Весь IP трафик (All IP Traffic).
5.
Нажмите Изменить (Edit).
6.
Убедитесь, что установлен флажок Использовать мастер (New Rule Wizard) и нажмите OK.
7.
Перейдите на вкладку Методы проверки подлинности (Authentication Methods).
8.
Выберите Общий ключ (Preshared Key) со значением ABC123 и нажмите Изменить (Edit).
9.
Выберите опцию Использовать сертификат данного Центра сертификации (Use a certificate from this certificate authority (CA)) и нажмите Обзор (Browse). Выберите центр сертификации, используемый вами прежде, в нашем примере это SecTestCA3.
Рисунок 6 – Выбор сертификата
10.
Нажмите OK.
Редактор правил IPSec (IPSec Rule editor) позволяет Вам создать упорядоченный список центров сертификации, которые Ваш компьютер будет указывать в запросах к другому компьютеру при согласовании IKE. Для подтверждения своей подлинности, на втором компьютере должен иметься сертификат компьютера, который хранится в разделе Личные (Personal) хранилища сертификатов, и был выдан ему одним из корневых центров сертификации, принадлежащих Вашему списку.
Вы можете добавить новый центр сертификации в список, а также упорядочить список центров сертификации так, как Вам необходимо.
11.
Нажмите два раза кнопку OK и нажмите кнопку Завершить (Close).
12.
На второй тестовой машине полностью повторите эту процедуру. Вы можете выполнить команду ping на каждом компьютере, чтобы убедиться в установленном соединении.
Вы можете упорядочить список методов аутентификации, определив больший приоритет для сертификатов, затем для проверки подлинности с помощью Kerberos или предварительного ключа. Несмотря на это, у Вас не получится разделить список сертификатов, внеся в его середину запись, не относящуюся к методу аутентификации с помощью сертификатов
Добавляя дополнительные корневые центры сертификации, Вы можете создать список корневых центров сертификации, которым Вы доверяете, этот список может содержать гораздо больше центров сертификации, чем те, от которых Вы получили сертификаты для Вашего компьютера. Это может потребоваться при взаимодействии с несколькими предприятиями.
Важно понимать, что Ваш компьютер может получать запросы сертификатов от удаленных компьютеров, которые могут включать корневые центры сертификации в список корневых центров сертификации, определенных Вами в политике IPSec. Согласуйте с администратором предприятия, с которым Вы взаимодействуете, вопрос о том, какие корневые центры сертификации будут использоваться каждой из сторон.
•
Если вторая сторона просит Вас включить используемый ею центр сертификации в Ваш список, то при IKE-согласовании будет проверено, имеет ли Ваш компьютер действительный сертификат, который имеет цепочку, ведущую к этому корневому центру сертификации. Если Вы включите этот центр сертификации, тогда будет выбран первый действующий сертификат компьютера из раздела хранилища сертификатов Личные (Personal) и отправлен в качестве подтверждения подлинности компьютера.
•
Если Ваш компьютер получит запрос сертификата, который имеет корневой центр сертификации, но который не определен в правиле политики IPSec, то Ваш компьютер отправит первый сертификат, имеющий цепочку, ведущую к корневому центру сертификации, имя которого определено в его собственном правиле политики IPSec. Запрос сертификатов, согласно документу RFC 2409, является необязательным (опциональным). Но если согласно политике безопасности компьютер использует аутентификацию на основе сертификатов, то он должен отсылать сертификат даже в том случае, если полученный запрос не требует предоставление сертификата IKE, или если в запросе сертификата указан корневой центр сертификации, который отсутствует в политике Вашего компьютера. В данном случае, вероятнее всего, согласование IKE закончится неудачно, поскольку компьютеры так и не смогут согласовать использование корневого центра сертификации. Если же второй стороной будет отправлен запрос, который не включает ни один из Ваших центров сертификатов, то согласование IKE также не будет выполнено.
Большинство серверов сертификатов выдают сертификаты, в которых указана точка распространения списка отзыва сертификатов (CRL Distribution Point, CDP). По правилам, для того чтобы компьютер полностью проверил действительность сертификата, он должен проверить, не был ли отозван сертификат его издателем. Поскольку стандарты, описывающие выполнение этой проверки, развиваются, то уже используются различные серверы сертификатов и системы инфраструктуры открытых ключей, поэтому не все системы сертификатов поддерживают этот метод и функциональные возможности проверки списка отзыва сертификатов. Поэтому проверка CRL по умолчанию отключена. Перед разрешением проверки CRL убедитесь, что проверка подлинности с помощью сертификатов успешно выполняется, и Вы проанализировали файл журнала Oakley. (Расположение этого файла указывается в шаге 3, приведенной ниже процедуры).
В IKE для API-криптографии указывается способ выполнения проверки списка CRL для определения действительности сертификата. Для активации проверки списка CRL администратор компьютера должен изменить значения ключей реестра, в соответствии с приведенной ниже процедурой. Корректные параметры этого значения должны быть определены администратором политик IPSec и администратором сервера сертификатов.
Чтобы активировать проверку списка CRL при IKE-согласовании
1.
В меню Пуск (Start) нажмите Выполнить (Run) и введите regedt32. Нажмите OK. Будет запущен Редактор реестра (Registry Editor).
2.
Перейдите в окно HKEY_LOCAL_MACHINE на локальном компьютере (Local Machine).
3.
Перейдите в узел System\CurrentControlSet\Services\PolicyAgent.
4.
Щелкните дважды по узлу PolicyAgent.
5.
В меню Правка (Edit) нажмите Добавить раздел (Add Key).
Рисунок 7 – Добавление раздела в реестр
6.
В поле Раздел (Key Name) введите имя раздела Oakley (с учетом регистра).
7.
Оставьте поле Класс (Class) пустым и нажмите OK.
8.
Выберите вновь созданный раздел Oakley.
9.
В меню Правка (Edit) нажмите Добавить параметр (Add Value).
10.
В поле Параметр (Value Name) введите название значения StrongCrlCheck (c учетом регистра).
11.
Выберите тип данных REG_DWORD и нажмите OK.
Введите значение 1 или 2 в зависимости от необходимого метода действия:
•
Используйте 1 для исключения использования сертификата в случае, если проверкой CRL выявлено, что данный сертификат отозван (нормальная форма проверки CRL).
•
Используйте 2 для исключения использования сертификата в случае любой ошибки проверки CRL. Это более надежный способ и используется, когда точка распространения CRL доступна в сети и никогда не сообщает о том, кем был выпущен этот сертификат, и не информирует о других ошибках. Эффективность заключается в том, что проверка сертификата выполняется только на уровне CRL, и если обработка CRL положительно завершится, следовательно, данный сертификат не отозван.
12.
Нажмите Шестнадцатеричное (Hex) в качестве представления. Нажмите OK.
13.
Закройте программу редактор реестра.
14.
Для перезапуска служб, используемых IPSec, из командной строки выполните сначала команду net stop policyagent, а затем выполните net start policyagent.
Примечание. Если ваша система сконфигурирована в качестве VPN-сервера с использованием L2TP/IPSec, то Вы должны перезагрузить Windows 2000.
Для отключения режима проверки списка CRL просто удалите значение StrongCRLCheck из раздела Oakley и перезапустите службы или же перезагрузите OC Windows 2000.
