Защита сети от неуправляемых клиентов

Сведения об IPsec

IPsec является стандартом безопасности протокола Интернета, который обеспечивает общий механизм безопасности на уровне IP на основе политик, что идеально подходит для выполнения проверки подлинности между узлами. Политики IPsec определяются как правила и параметры безопасности, управляющие потоком входящего и исходящего трафика на компьютере. Эти политики централизованно управляются в Active Directory с помощью объектов групповой политики (GPO), используемых для назначения политики членам домена. Они обеспечивают возможность установления безопасных каналов связи между членами домена, что является основой этого решения.

IPsec использует протокол IKE для согласования параметров между двумя узлами для определения способа безопасного взаимодействия с помощью IPsec. Соглашения, установленные между двумя узлами, и различные параметры, определяющие метод согласования, называются сопоставлениями безопасности (SA). Microsoft Windows может использовать один из трех указанных ниже методов протокола IKE.

Примечание.   Хотя в качестве метода проверки подлинности можно использовать инфраструктуру открытых ключей (PKI), этот подход не рекомендуется использовать ввиду интеграции проверки подлинности домена Windows 2000 (Kerberos) в протокол согласования IKE.

Согласование протокола IKE в Windows можно настроить таким образом, чтобы разрешить взаимодействие с компьютерами, которые не отвечают на запрос согласования протокола IKE. Эта функция называется переходом на небезопасное соединение. Она играет важную роль в процессе развертывания, а также полезна в вышеупомянутом контексте, поскольку позволяет компьютерам, входящим в пограничную группу, взаимодействовать с членами изолированной сети. Любое взаимодействие, которое IPsec не может защитить, относится к мягкому сопоставлению безопасности и записывается в журнал безопасности как событие успешного аудита.

Помимо проверки подлинности IPsec может выполнять другие полезные функции, включая возможности поддержания целостности и шифрования сетевого трафика с использованием параметров заголовков проверки подлинности (AH) и безопасного закрытия содержания (ESP). Хотя заголовки проверки подлинности (AH) можно использовать для того, чтобы гарантировать, что пакет не был изменен при передаче, использование заголовков для выполнения этой задачи приводит к несовместимости с трансляцией сетевых адресов (NAT). Протокол ESP, который обычно применяется для шифрования трафика, можно использовать в режиме нулевого шифрования (ESP/null), что обеспечивает проверку целостности данных, совместимую с NAT.

IPsec также может работать в двух различных режимах, режиме передачи и туннелирования. Режим передачи IPsec является рекомендованным методом обеспечения безопасности трафика между двумя узлами. В этом режиме после исходного заголовка IP просто вставляется еще один заголовок, а оставшаяся часть пакета шифруется с помощью AH или ESP. Режим туннелирования обычно используется для создания VPN-туннелей между шлюзами, при котором исходные пакеты и заголовки IP полностью инкапсулируются, а новый заголовок IPsec заменяет исходный заголовок IP.

Дополнительные сведения см. на странице корпорации Майкрософт «Изоляция сервера и домена» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Углубленная защита

Рис. 4. Модель углубленной защиты с логической изоляцией

На предыдущем рисунке показано, какое место в модели углубленной защиты занимает логическая изоляция. Хотя изоляция домена и сервера предназначена для защиты главного компьютера подобно установленному на компьютере брандмауэру, сферой ее действия являются сетевые взаимодействия с использованием IPsec. Хотя это решение охватывает промежуток между узлом и внутренней сетью, оно не расположено в пределах какого-либо одного комплекса, поскольку является решением «логической изоляции». Следовательно, перечисленные ниже функции не входят в область действия этого решения.

Важно понимать и принимать во внимание роль, которую логическая изоляция играет в комплексном решении углубленной защиты. Само по себе это решение не может обеспечить безопасность всех аспектов инфраструктуры компании среднего размера. Однако при использовании в качестве составной части комплексного решения она может играть очень важную роль.

Использование служб карантина VPN для защиты от неуправляемых удаленных компьютеров

Удаленные компьютеры, использующие VPN для доступа к сети компании, создают ряд уникальных проблем с точки зрения политики безопасности. Большинство решений для удаленного доступа проверяют только учетные данные удаленного пользователя и не проверяют соответствие удаленного компьютера политикам безопасности. Такой подход к проверке представляет проблему, поскольку он потенциально сводит на нет усилия по защите сети от угроз, связанных с такими проблемами, как устаревшие файлы сигнатур для борьбы с вредоносными программами, устаревшие уровни обновления для системы безопасности, неправильные параметры маршрутизации и отсутствие адекватной защиты с помощью брандмауэра.

Карантинный контроль доступа к сети на основе Microsoft Windows Server 2003 помогает устранить эту проблему путем задержки удаленного доступа к VPN до тех пор, пока состояние конфигурации подключающегося компьютера не будет проверено на соответствие текущим стандартам политики безопасности.

Сведения о службах карантина VPN

Карантинный контроль доступа к сети — это функция, предоставляемая семейством ОС Windows Server 2003, которая задерживает запуск служб удаленного доступа, пока подключающиеся удаленные компьютеры не будут изучены и проверены сценарием, настроенным администратором. Обычно при инициализации удаленного сеанса пользователь проходит проверку подлинности, а удаленному компьютеру предоставляется IP-адрес, но на этом этапе подключение переводится в режим карантина, при котором доступ к сети ограничен до тех пор, пока на удаленном компьютере не будет выполнен сценарий, предоставленный администратором. После выполнения сценария и получения сервером удаленного доступа уведомления о том, что удаленный компьютер соответствует настроенным сетевым политикам, режим карантина прекращается, а удаленному компьютеру предоставляется доступ к сети.

Пока удаленное подключение находится в режиме карантина, на это подключение могут быть наложены указанные ниже ограничения.

Карантинный контроль доступа к сети можно использовать как часть комплексного решения по обеспечению безопасности, способствующую реализации политик безопасности и гарантирующую, что ненадежные компьютеры не смогут подключиться к надежной сети. Тем не менее, само по себе это решение не относится к средствам защиты и не позволяет предотвратить подключения пользователей-злоумышленников, получивших допустимый набор учетных данных.

Примечание.   Карантинный контроль доступа к сети — это не то же самое, что и защита доступа к сети (NAP), новая платформа реализации политик, которая будет включена в новое семейство ОС Windows Server Longhorn. Дополнительные сведения о NAP см. в Приложении A «Защита доступа к сети» в конце этого документа.

Компоненты карантинного контроля доступа к сети

Рис. 5. Компоненты карантинного контроля доступа к сети Windows

На рисунке выше показаны типичные компоненты решения удаленного доступа Windows, в котором используется карантинный контроль доступа к сети. Ниже перечислены некоторые из этих компонентов.

Углубленная защита

Рис. 6. Углубленная защита и карантинный контроль доступа к сети

Как показано на этой адаптированной модели углубленной защиты корпорации Майкрософт, карантин VPN охватывает три уровня модели: узел, внутреннюю сеть и периметр сети. Хотя это решение не обеспечивает безопасность клиента напрямую, оно помогает защитить серверы от угроз, связанных с удаленными клиентами, которые не соответствуют рекомендациям по безопасности. Это решение также косвенным образом защищает удаленные клиенты, обеспечивая их соответствие требованиям политики для эффективной работы и поощряя, таким образом, поддержку обновлений в актуальном состоянии.

Кроме того, данное решение улучшает защиту самой сети от разрушительного воздействия неправильно настроенных незаконно подключающихся удаленных компьютеров (включая распространение вредоносных программ, способное оказать пагубное влияние на производительность сети). Может показаться, что периметр сети не затрагивается этим решением, поскольку оно не защищает напрямую от атак на VPN (которая расположена именно на периметре) методом прямого подбора паролей. Однако это решение обеспечивает дополнительный уровень безопасности, с которым злоумышленнику придется столкнуться при попытке получения прямого доступа к ресурсам, расположенным во внутренней сети — даже если злоумышленнику удастся получить допустимые учетные данные для проверки подлинности.