Поддержка входа в систему с помощью смарт-карт для VPN-подключений удаленного доступа

Введение

Прогресс в области технологий связи, вызванный необходимостью снижения затрат при сохранении конкурентоспособности на расширяющемся рынке, позволяет организациям не только поддерживать каналы связи 24 часа в сутки и семь дней в неделю, но также обеспечивать возможность удаленного подключения к деловым данным и услугам.

Интернет предоставляет организациям и физическим лицам возможность использования компьютеров для обмена данными по всему миру, обеспечивая такие преимущества, как доступность, масштабируемость, производительность и уменьшение затрат на ведение бизнеса. Однако Интернет представляет собой небезопасную среду, которая может оказаться враждебной для работающих в нем организаций. Проблема для организаций заключается в том, чтобы использовать все преимущества, предоставляемые Интернетом, при сохранении необходимого уровня безопасности данных и каналов связи.

Виртуальные частные сети (VPN) позволяют организациям использовать Интернет, ограничивая при этом доступ к данным и каналам связи. Для реализации такой возможности в данной технологии используется ряд защитных функций, включая надежные механизмы проверки подлинности и шифрования.

Для кого предназначено это руководство

Данное руководство ориентировано на профессионалов в сфере информационных технологий (ИТ), ответственных за развертывание службы VPN в своих сетевых средах.

Сведения, приведенные в данном руководстве, относятся к малым и средним организациям, желающим получить надежный удаленный доступ к своим сетям.

Обзор

При настройке удаленного VPN-доступа к своим сетевым ресурсам можно использовать те же учетные данные, что и при доступе к сети на работе: сетевое имя пользователя и пароль. Однако такое решение не является самым безопасным. В частности, имена пользователей часто содержатся в визитных карточках и документации. Они также уязвимы для атак методом перебора. Если посторонние узнают ваше имя пользователя, пароль останется единственным механизмом безопасности, защищающим корпоративную сеть.

Отдельные секреты, например пароли, могут быть эффективными механизмами безопасности. Длинный пароль, состоящий из случайных букв, цифр и специальных знаков, крайне трудно взломать. Кроме того, идентификационные фразы обеспечивают лучшую безопасность, чем одиночные пароли.

К сожалению, пользователи не всегда могут запомнить сложные пароли и часто записывают их на бумагу. При отсутствии ограничений на сложность пароля пользователи стремятся к созданию простых для запоминания паролей, которые, следовательно, легко угадать.

Решения на основе имени пользователя и пароля считаются однофакторными, поскольку для доступа к сети используется только что-то известное. Системы многофакторной проверки подлинности устраняют недостатки однофакторной проверки подлинности благодаря сочетанию требований, включающих в себя:

•	Что-либо известное пользователю, например пароль или персональный идентификационный номер (ПИН-код).
•	Что-либо принадлежащее пользователю, например аппаратный маркер или смарт-карта.
•	Что-либо являющееся неотъемлемой особенностью пользователя, например отпечаток пальца или сканированное изображение сетчатки.

Смарт-карты и связанные с ними ПИН-коды становятся все более популярной, надежной и экономичной формой двухфакторной проверки подлинности. Пользователи должны иметь при себе смарт-карты и знать свой ПИН-код для получения доступа к сетевым ресурсам. Требование двух факторов значительно уменьшает вероятность несанкционированного доступа к сети организации.

Преимущества VPN

Если организации требуется подключаться к сетям, которые содержат секретные и частные данные, используя для удаленного доступа Интернет, продолжительное подключение представляет собой серьезную угрозу безопасности.

В потенциально враждебной среде Интернета использование решения на основе VPN становится обязательным, поскольку оно не только позволяет сократить накладные расходы, но и помогает поддерживать уровень безопасности, характерный для частной сетевой инфраструктуры. Решение на основе VPN обеспечивает безопасность, поскольку в нем используется безопасное туннельное подключение, шифрование данных, а доступ к корпоративной сети предоставляется только пользователям, прошедшим проверку.

VPN поддерживает широкий диапазон методов проверки подлинности, протоколов туннелирования и технологий шифрования для поддержания безопасности деловых данных.

Ниже перечислены методы проверки подлинности VPN.

•	Протокол проверки подлинности пароля (PAP).
•	Протокол проверки пароля (CHAP).
•	Протокол проверки пароля Microsoft® Challenge-Handshake Authentication Protocol (MS-CHAP).
•	MS-CHAP версии 2 (MS-CHAP v2).
•	Протокол расширенной проверки подлинности (EAP).

Протоколы туннелирования VPN включают в себя:

•	Протокол туннелирования между узлами (PPTP).
•	Сетевой протокол туннелирования канального уровня (L2TP).

Ниже перечислены протоколы шифрования VPN.

•	Шифрование Point-to-Point Microsoft (MPPE).
•	Протокол IPsec.

Для поддержки самого широкого диапазона клиентских операционных систем корпорации Майкрософт используйте протоколы MS-CHAP, PPTP и MPPE.

При использовании Microsoft Windows® 2000 или более поздней версии можно обеспечить больший уровень безопасности, используя EAP, L2TP и IPsec.

Дополнительные сведения о проверке подлинности, туннелировании и шифровании VPN см. в информационном документе «Виртуальные частные сети: обзор» на веб-узле Microsoft TechNet (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Технологии смарт-карт

Смарт-карты обеспечивают двухфакторную проверку подлинности. Двухфакторная проверка подлинности представляет собой шаг вперед по сравнению с простым сочетанием имени пользователя и пароля и требует от пользователя предъявления уникального маркера определенного вида и ПИН-кода.

Смарт-карты — это пластиковые предметы размером с кредитную карту, содержащие микрокомпьютер и небольшое количество памяти. Они выступают в качестве безопасного, защищенного от неумелого обращения хранилища секретных ключей и сертификатов безопасности X.509.

Для выполнения проверки подлинности на компьютере или через подключение удаленного доступа пользователь вставляет смарт-карту в устройство чтения и вводит свой ПИН-код. Пользователь не может получить доступ к сети, используя только ПИН-код или только смарт-карту. Расширенные атаки методом прямого подбора ПИН-кода смарт-карты невозможны, поскольку смарт-карта блокируется после определенного количества безуспешных попыток ввода правильного ПИН-кода.

Смарт-карты снабжены встроенными операционными системами и файловыми системами, позволяющими хранить данные. Операционная система смарт-карты должна быть способна выполнять перечисленные ниже задачи.

•	Хранить открытый и секретный ключ пользователя.
•	Хранить сертификат открытого ключа.
•	Загружать сертификат открытого ключа.
•	Выполнять операции с секретным ключом от имени пользователя.

Дополнительные сведения о смарт-картах и список поддерживаемых корпорацией Майкрософт устройств чтения смарт-карт см. в разделе «Смарт-карты» на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/security/topics/identitymanagement/scard.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Требования к внедрению смарт-карт

Для поддержки входа в систему с помощью смарт-карт для VPN-подключений удаленного доступа, в компьютере должны иметься определенные аппаратные и программные компоненты.

Дополнительные сведения о спецификациях и требованиях для внедрения смарт-карт см. в статье «Руководство по планированию безопасного доступа с помощью смарт-карт» на веб-узле Microsoft TechNet (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Требования к клиентскому оборудованию для смарт-карт

Для поддержки решений в области VPN на основе смарт-карт требуется наличие у пользователей компьютера, на который можно установить Windows XP.

Кроме того, требуется, чтобы к компьютеру через стандартный интерфейс (например последовательный порт RS-232, PS/2, PC Card или USB) было подключено устройство чтения смарт-карт.

Требования к программному обеспечению для смарт-карт

Для поддержки решения в области VPN на основе смарт-карт требуется, чтобы у клиентов удаленного доступа была установлена Windows XP. Кроме того, рекомендуется установка пакета обновления 2 (SP2).

На каждом клиентском компьютере требуется установить поставщик служб шифрования (CSP), поддерживающий выбранный тип смарт-карты. В состав Windows XP входит поставщик CSP, поддерживающий большое количество решений на основе смарт-карт. Кроме того, поставщик решения на основе смарт-карт может предоставить собственный поставщик CSP. CSP выполняет перечисленные ниже функции.

•	Криптографические функции, включая цифровые подписи.
•	Управление закрытыми ключами.
•	Безопасный обмен данными между устройством чтения смарт-карт на клиентском компьютере и смарт-картой.

На каждом клиентском компьютере необходимо установить драйверы устройства для конкретного устройства чтения смарт-карт. Драйверы устройств отображают функциональность устройства чтения на внутренние службы, предоставляемые Windows XP и инфраструктурой смарт-карт. Драйвер устройства чтения смарт-карт обрабатывает события вставки и извлечения карты и обеспечивает связь с картой.

Диспетчер подключений является стандартным компонентом Windows XP, предназначенный для установки и управления подключениями по сети, модему и через VPN. Кроме того, для настройки профилей диспетчера подключений и создания предоставляемого клиентам файла установки, автоматически настраивающего VPN-подключение, можно использовать пакет администрирования диспетчера подключений (CMAK).

Внедрение смарт-карт может включать установку на стороне клиента управляющего программного обеспечения. Это программное обеспечение включает средства обеспечения управления, подключения и безопасности смарт-карт, позволяющие просматривать содержимое смарт-карт, сбрасывать ПИН-коды и добавлять дополнительные сертификаты.

Требования к оборудованию VPN-сервера

VPN-подключения увеличивают загрузку процессора на сервере удаленного доступа. Вход в систему с помощью смарт-карты не вносит существенного вклада в эту загрузку. VPN-серверы удаленного доступа, обслуживающие большой объем входящих подключений, требуют использования быстрых процессоров (желательно в многопроцессорной конфигурации), а также поддержки высокой пропускной способности сети. Организации, использующие VPN-подключения на основе протокола IPsec, могут установить сетевые платы, переносящие процесс шифрования IPsec на отдельный процессор, расположенный на сетевой плате.

Требования к программному обеспечению VPN-сервера

Требования к программному обеспечению VPN-сервера для доступа на основе смарт-карт довольно просты. На серверах удаленного доступа должна использоваться ОС Windows 2000 Server или более поздняя версия с включенной поддержкой маршрутизации и удаленного доступа и поддержкой EAP-TLS.

EAP-TLS представляет собой механизм взаимной проверки подлинности, разработанный для использования совместно с устройствами безопасности, например смарт-картами и аппаратными маркерами. EAP-TLS поддерживает подключения по протоколу PPP (Point-to-Point Protocol) и VPN и позволяет обмениваться общими секретными ключами для MPPE в дополнение к IPsec.

Основными преимуществами EAP-TLS являются устойчивость к атакам методом прямого подбора паролей и поддержка взаимной проверки подлинности. При взаимной проверке подлинности как клиент, так и сервер должны подтвердить друг другу свои учетные данные. Если клиент или сервер не отправит сертификат для проверки своих учетных данных, подключение будет прервано.

Microsoft Windows Server™ 2003 поддерживает EAP-TLS для коммутируемых и VPN-подключений, что позволяет использовать смарт-карты удаленным пользователям. Дополнительные сведения о EAP-TLS см. в разделе «Протокол расширенной проверки подлинности (EAP)» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Дополнительные сведения о требованиях к сертификату EAP см. в статье базы знаний Майкрософт «Требования к сертификату при использовании EAP-TLS или PEAP совместно с EAP-TLS» по адресу http://support.microsoft.com/default.aspx?scid=814394 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Необходимые требования к сетевой инфраструктуре при внедрении смарт-карт

Использование смарт-карт требует наличия соответствующей инфраструктуры с поддержкой со стороны операционной системы и элементов сети. Перед тем как начать процесс внедрения смарт-карт, обратите внимание на необходимость наличия перечисленных ниже компонентов.

•	Требования к пользователям.
•	Инфраструктура открытых ключей (PKI).
•	Шаблоны сертификатов.
•	Служба каталогов Active Directory®.
•	Группы безопасности.
•	Станции подачи заявок и агенты подачи заявок.

Требования к пользователям

Определение пользователей и групп, которым требуется доступ через VPN, является важной составляющей процесса внедрения смарт-карт. Определите эти учетные записи на раннем этапе процесса внедрения, чтобы определить рамки проекта и затраты на управление.

Инфраструктура открытых ключей (PKI)

Решения на основе смарт-карт требуют наличия инфраструктуры открытых ключей для предоставления сертификатов с парами «открытый ключ - секретный ключ», позволяющих осуществлять сопоставление учетных записей в Active Directory. Инфраструктуру открытых ключей можно реализовать двумя способами: путем предоставления внутренней инфраструктуры сертификатов внешней организации или через использование служб сертификации в Windows Server 2003. Для использования служб сертификации в Windows Server 2003 в решении на основе смарт-карт требуется, чтобы центр сертификации (CA) находился в ведении предприятия, что требует наличия Active Directory.

Дополнительные сведения о службах сертификации в Windows Server 2003 см. на веб-узле «Инфраструктура открытых ключей для Windows Server 2003» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Инфраструктура открытых ключей должна иметь механизм отзыва сертификата. Отзыв сертификата необходим при истечении срока действия сертификата или при возможном нарушении безопасности сертификата злоумышленником. Отзывая сертификат, администратор запрещает доступ каждому, кто использует этот сертификат. Каждый сертификат содержит данные о местоположении списка аннулированных сертификатов (CRL).

Дополнительные сведения об управлении отзывом сертификатов см. в разделе «Управление отзывом сертификатов» на веб-узле Microsoft TechNet (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Инфраструктура открытых ключей используется для назначения сертификата каждой смарт-карте в решении на основе VPN. Центр сертификации, которому доверяет VPN-сервер, должен выпустить сертификат. При использовании служб сертификации в Windows Server 2003 убедитесь в том, что на VPN-сервере установлен корневой сертификат инфраструктуры открытых ключей.

При использовании взаимной проверки подлинности необходимо назначить VPN-серверу сертификат центра сертификации, которому доверяет клиент. При использовании служб сертификации в Windows Server 2003 убедитесь в том, что на клиенте VPN установлен корневой сертификат инфраструктуры открытых ключей.

Шаблоны сертификатов

Windows Server 2003 предоставляет определенные шаблоны сертификатов для выпуска цифровых сертификатов для использования в решениях на основе смарт-карт. Существует три шаблона сертификатов для использования со смарт-картами.

•	Агент подачи заявок — позволяет прошедшему проверку пользователю запрашивать сертификаты других пользователей.
•	Пользователь смарт-карты — позволяет пользователю входить в систему с помощью смарт-карты и подписывать электронную почту. Кроме того, этот сертификат обеспечивает проверку подлинности клиента.
•	Вход в систему с помощью смарт-карты — позволяет пользователю входить в систему с помощью смарт-карты и обеспечивает проверку подлинности клиента, но не позволяет подписывать электронную почту.

Примечание.   Корпорация Майкрософт настоятельно рекомендует обновить текущую версию инфраструктуры открытых ключей Windows Server 2003 до версии инфраструктуры открытых ключей Windows Server 2003 с пакетом обновления 1 (SP1), чтобы иметь возможность пользоваться улучшенными средствами защиты.

Для решения на основе VPN необходимо наличие хотя бы одного администратора с сертификатом агента подачи заявок, назначающего сертификаты смарт-картам. Кроме того, на смарт-карты клиентов необходимо будет установить сертификаты на вход в систему с помощью смарт-карт.

Дополнительные сведения о шаблонах сертификатов см. в разделе «Шаблоны сертификатов» на веб-узле TechNet (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Active Directory

Active Directory обеспечивает средства управления идентификаторами и отношениями, образующими сетевые окружения, и является ключевым компонентом для внедрения решений на основе смарт-карт. Active Directory в Windows Server 2003 имеет встроенную поддержку для принудительного входа в систему с помощью смарт-карт и возможность сопоставления учетных записей сертификатам. Возможность сопоставления учетных записей сертификатам устанавливает привязку секретного ключа на смарт-карте сертификату, хранящемуся в Active Directory.

При назначении агентом подачи заявок сертификата смарт-карте для определенного пользователя процесс сопоставляет сертификат учетной записи пользователя в Active Directory. Представление учетных данных смарт-карты при входе в систему требует, чтобы Active Directory сопоставляла определенную карту с учетной записью пользователя, предоставляющей пользователю соответствующие разрешения и возможности в сети.

Дополнительные сведения о сопоставлении сертификатов см. в разделе «Сопоставление сертификатов с учетными записями пользователей» на веб-узле Microsoft TechNet (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Дополнительные сведения об Active Directory см. на странице Active Directory Windows Server 2003 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Группы безопасности

Процесс внедрения и управления смарт-картами значительно упрощается при использовании для организации пользователей групп безопасности в Active Directory. Например, в типичном случае внедрения смарт-карт требуется создать перечисленные ниже группы безопасности.

•	Агенты подачи заявок на смарт-карты Агенты подачи заявок на смарт-карты отвечают за распространение смарт-карт среди пользователей.
•	Группа промежуточного хранения смарт-карт Группа промежуточного хранения смарт-карт содержит всех пользователей, получивших смарт-карты, но для которых агент подачи заявок еще не подал заявку и не активировал их карты.
•	Пользователи смарт-карт Группа пользователей смарт-карт содержит всех пользователей, завершивших процесс подачи заявки и активировавших смарт-карту. Агент подачи заявок перемещает пользователя из группы промежуточного хранения смарт-карт в группу пользователей смарт-карт.
•	Группа временных исключений смарт-карт Группа временных исключений смарт-карт предназначена для пользователей, для которых требуется временное исключение требования смарт-карты (например, в случае потери смарт-карты или если смарт-карта забыта).
•	Группа постоянных исключений смарт-карт Группа постоянных исключений смарт-карт включает учетные записи, для которых требуется постоянное исключение требования входить в систему с помощью смарт-карты.

Как минимум, для решения на основе VPN требуются группы для агентов подачи заявок и пользователей смарт-карт. Создание этих групп облегчает управление и настройку параметров для большого количества пользователей.