Защита сети от неуправляемых клиентов

Требования 802.1X PEAP

Решение на основе PEAP с использованием MS-CHAP версии 2 корпорации Майкрософт требует наличия по меньшей мере двух серверов RADIUS службы проверки подлинности в Интернете (IAS) для работы в качестве серверов проверки подлинности для беспроводных клиентов по базе данных учетных записей Active Directory. Количество необходимых серверов RADIUS может зависеть от количества удаленных площадок или необходимости обработки большого количества попыток проверки подлинности со стороны пользователей.

Наличие удаленных объектов не требует автоматически дополнительных серверов RADIUS проверки подлинности через Интернет (IAS). Однако если удаленные объекты не имеют избыточных подключений с высокой пропускной способностью или уже используют собственные контроллеры домена или иные локальные ресурсы, тогда для таких объектов необходимо добавить дополнительные серверы.

Требования 802.1X EAP-TLS

Как упоминалось ранее, EAP-TLS требует больше ресурсов, чем решения на основе PEAP, из-за потребности в дополнительных сертификатах. Разумеется, для выпуска сертификатов для всех клиентов беспроводных сетей и серверов проверки подлинности можно воспользоваться услугами сторонних поставщиков, но такой подход является более дорогостоящим, чем реализация инфраструктуры сертификатов, за исключением случая, когда количество клиентов беспроводных сетей жестко ограничено небольшим количеством пользователей.

В итоге простая реализация EAP-TLS потребует по меньшей мере четыре сервера, еще больше потребуется для более крупных компаний или для территориально распределенных сетей. Два из этих четырех серверов будут работать в качестве резервных серверов RADIUS службы проверки подлинности в Интернете (IAS), а другие два будут функционировать в качестве инфраструктуры сертификатов. Рекомендуется, чтобы один из этих двух серверов сертификатов (корневой сервер сертификатов) настраивался в отключенном от сети состоянии и оставался отключенным. Это означает, что при определенных обстоятельствах количество серверов может быть сокращено до одного.

Использование WEP или WPA

Другой проблемой в отношении безопасности беспроводных сетей, которую необходимо решить, является вопрос о необходимости шифрования беспроводных соединений, и, в случае положительного ответа, выбор используемого стандарта. Для среды компании среднего размера имеется крайне мало причин, по которым не следует использовать шифрование беспроводных соединений. Все эти причины связаны с предоставлением организацией общедоступного беспроводного подключения к Интернету. Во всех других случаях для обеспечения безопасности беспроводной сети необходимо использовать один из видов шифрования беспроводных соединений наряду с проверкой подлинности на основе 802.1X.

Имеется два вида шифрования беспроводных соединений с одним дополнительным вариантом. Это следующие виды.

Для шифрования данных, передаваемых по беспроводным сетям, следует использовать WPA2 или WPA, если это возможно. Однако ввиду новизны данных стандартов это не всегда возможно, особенно, если значительные средства были вложены в беспроводное оборудование, которое не поддерживает эти стандарты. Как было упомянуто ранее, можно повысить уровень безопасности, обеспечиваемый стандартом WEP, путем настройки проверки подлинности 802.1X и частой смены пар ключей. Однако даже в этом случае, использование WEP должно быть ограничено беспроводными сетями, которые находятся в состоянии перехода на стандарт WPA или WPA 2.

Использование SMS-сервера для обнаружения неуправляемых компьютеров

Сервер Microsoft Systems Management Server (SMS) 2003 является весьма универсальным средством управления в сети Майкрософт. С помощью SMS-сервера можно осуществить централизацию нескольких функций управления, включая доставку программного обеспечения, развертывание обновлений безопасности и аудит компьютеров. Среди этих функций основной является возможность автоматизированной и централизованной инвентаризации компьютеров, с которых устанавливаются эти крайне полезные средства. Именно при этом начинает действовать обнаружение неуправляемых систем.

Сервер SMS 2003 обеспечивает различные методы обнаружения, которые администраторы могут использовать для создания базы данных компьютеров, содержащей сведения о каждом компьютере в сети. Эти методы обнаружения варьируются от обнаружения на основе Active Directory (при котором список компьютеров обновляется на основе сведений, предоставляемых списком учетных записей компьютеров Active Directory) до сетевого метода обнаружения (при котором сеть активно проверяется на наличие любых подключенных устройств). Эти методы обнаружения можно настроить на автоматический запуск через предварительно определенные промежутки времени и обновление баз данных компьютеров по завершении работы.

Для обнаружения подключенных к сети неуправляемых компьютеров можно настроить метод сетевого обнаружения на более частый запуск, а затем регулярно просматривать результаты поиска, чтобы выявлять подключение к сети новых компьютеров. При возникновении подключений подобных компьютеров их следует проверять по установленному списку новых компьютеров или запросов на подключение к сети, чтобы подтвердить, что новый компьютер авторизован для использования сети.

Процесс сетевого обнаружения

Одним из недостатков подобного подхода к обнаружению неуправляемых компьютеров является то, что SMS-сервер может испытывать трудности при получении подробных сведений о компьютерах, использующих операционные системы, отличные от Microsoft Windows. На самом деле, даже версии Windows до Microsoft Windows 98 SE могут не обнаруживаться методами SMS 2003, поскольку они не поддерживают реализации интерфейса управления Windows (WMI). Соответственно, к данному решению необходимо добавить сценарии для обнаружения любого нового устройства, подключаемого к сети. На следующем рисунке показана работа такого процесса.

Рис. 10. Процесс обнаружения неуправляемого компьютера с помощью SMS

На этом рисунке показаны методы обнаружения, которые можно использовать для добавления различных типов компьютеров в базу данных SMS-сервера. Существует три различных типа компьютеров, с которыми приходится иметь дело.

На этом этапе должно быть понятно, что процесс обнаружения неуправляемых компьютеров в сети зависит от внедрения процессов, которые подробно документируют сведения о каждом авторизованном подключении компьютера к сети. Такая документация должна содержать подробные сведения о компьютере, вне зависимости от использования для управления им автоматических методов (таких как SMS). Если такие сведения отсутствуют, то в документации должны быть данные о процессе, используемом для поддержания соответствия компьютера установленным политикам безопасности, если таковые имеются. Разумеется, в сети могут быть авторизованные компьютеры, для которых не требуется обязательного соответствия стандартам безопасности. Однако подобные компьютеры должны быть принудительно помещены в ненадежный сегмент сети, изолированный от надежной сети.

При наличии документированного процесса добавления компьютера, который автоматически учитывает все известные компьютеры в сети, эти сведения можно использовать для определения того, что является авторизованным, а что нет. Любые компьютеры, обнаруженные в сети и не входящие в этот список, следует рассматривать как подозрительные и немедленно проводить расследование.

Развертывание и управление

Раздел «Разработка» содержит сведения, необходимые для создания планов развертывания. В этом разделе рассказывается об общих проблемах развертывания и процессах, которые будут полезны техническим специалистам при реализации этих решений, а руководителям помогут лучше разобраться в последствиях внедрения, чтобы принять взвешенное решение о том, подходят ли данные технологии для определенной среды.

Использование IPsec для изоляции доменов и серверов

Ввиду сложности изоляции сети на основе IPsec, рекомендуется использовать поэтапный подход к развертыванию этого решения в производственной среде. Имеется два способа поэтапного развертывания, различающиеся тем, каким образом развертываются политики IPsec — по группам или по политике.

Независимо от того, какой из методов используется, важно использовать опытные образцы из каждой группы на начальных стадиях развертывания, а также по возможности тестировать влияние этого решения в тестовой среде. Развертывание IPsec должно проходить в соответствии с формальной процедурой запросов контроля изменений, которая подробно описывает планы развертывания, а также запросы от владельцев технологических и бизнес-процессов.

Развертывание IPsec по группам

В методе внедрения изоляции сети на основе IPsec по группам используются полностью определенные политики IPsec. Для контроля над реализацией используются списки доступа (ACL) для объектов групповой политики, которые осуществляют доставку политик. Перед развертыванием во всех политиках IPsec должны быть полностью определены все исключения и безопасные подсети с помощью соответствующих действий фильтров.

После завершения настройки администраторы создают объекты групповой политики для каждой политики IPsec и всех групп компьютеров, управляемых с помощью этих объектов групповой политики. После создания необходимых политик IPsec они назначаются соответствующим объектам групповой политики, а объекты групповой политики сопоставляются соответствующим объектам в Active Directory. На этой стадии процесса не следует осуществлять никакие политики, поскольку списки доступа (ACL), контролирующие назначение объектов групповой политики, пусты.

После определения тестовых компьютеров соответствующие учетные записи компьютеров можно поместить в подходящие группы компьютеров. Политика IPsec будет применена после прохождения следующего интервала опроса объектов групповой политики. По мере добавления все большего количества компьютеров в список развертывания на различных этапах их учетные записи необходимо помещать в соответствующие группы для осуществления политики.

Этот метод требует тщательного планирования, поскольку чреват нарушением взаимодействия. Например, если сервер, на котором размещено приложение, используемое всеми узлами, был помещен в безопасную группу, которая требует шифрования взаимодействия на основе IPsec, тогда компьютеры, еще не добавленные в группы, и все узлы, которые не могут использовать шифрование IPsec, не смогут соединиться с этим сервером.

Развертывание IPsec по политике

В этом методе развертывание осуществляется путем создания с нуля политик IPsec в процессе развертывания, а не перед фактическим развертыванием в производственной среде. При использовании этого метода исходные политики IPsec включают только списки исключений без правил, установленных для согласования безопасности компьютеров. После осуществления первоначальной политики администраторы могут создать правило безопасности с фильтром, влияющим только на одну подсеть. По мере продвижения развертывания в правило безопасности могут добавляться дополнительные подсети, пока политика не достигнет состояния полного развертывания.

Преимущества использования метода поэтапного развертывания заключаются в том, что IPsec используется только для небольшой доли общего трафика TCP/IP, а не для всех подсетей, как в случае с подходом развертывания по группам. Кроме того, этот метод допускает тестирование всех сетевых путей из одной подсети, сокращая таким образом количество клиентов, затрагиваемых в случае возникновения каких-либо проблем. Проблема, связанная с этим подходом, заключается в том, что он применяется ко всем компьютерам в изолированном домене или группе, а не к определенным компьютерам, как в случае развертывания по группам. Кроме того, на определенном этапе все компьютеры столкнутся с трехсекундной задержкой при переходе в незащищенный режим при инициализации соединений с указанными подсетями.

Этот подход хорошо работает для сложных сетей с множеством подсетей, но малопривлекателен для более мелких сетей с относительно небольшим количеством подсетей.

Списки исключений

Даже наилучшим образом спроектированная модель изоляции сети столкнется с рядом ограничений при реализации в реальной среде. Чаще всего определенные проблемы возникают с ключевыми компонентами сетевой среды, такими как серверы DNS и контроллеры домена. Таким компьютерам необходима защита, но они также должны быть доступны всем компьютерам в сети. Таким образом, они должны быть открыты для запросов на входящие подключения. При реализации плана могут возникнуть и другие проблемы, однако для их разрешения можно использовать списки исключений.

Список исключений — это список компьютеров, для защиты которых нельзя использовать IPsec, и этот список необходимо создать в каждой разработанной политике IPsec. Поскольку IPsec поддерживает только статическую фильтрацию, любой узел, добавленный в список исключений, будет отправлять и принимать трафик из всех частей сети, как надежных, так и ненадежных. По этой причине список исключений должен быть как можно короче, поскольку эти узлы требуют дополнительной защиты путем усиления сервера и использования брандмауэра для фильтрации по узлам с отслеживанием состояния для снижения уровня риска, представляемого неуправляемыми устройствами. Также может быть полезным рассмотрение возможности помещения узлов, входящих в список исключений, в отдельную подсеть или виртуальную локальную сеть для облегчения управления или объединения функций серверов с целью сокращения количества узлов, входящих в список исключений.

Ниже перечислены некоторые узлы, которые, возможно, потребуется добавить в список исключений.

Как и в случае с пограничной группой, для узлов, которые требуется добавить в списки исключений, должна быть установлена формальная процедура утверждения.

Примечание.   Для Microsoft Windows XP и Windows Server 2003 имеется исправление «Простая политика», которое делает использование списков исключений ненужным. Дополнительные сведения см. в статье 914841 базы знаний Майкрософт (эта ссылка может указывать на содержимое полностью или частично на английском языке) и в статье 914842 базы знаний Майкрософт (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Аспекты управления IPsec

После внедрения политики IPsec оказывают влияние на взаимодействие между множеством узлов в сети. Таким образом, изменения, внесенные после развертывания, могут оказать значительное влияние на многих пользователей. По этой причине все изменения, вносимые в изолированную сеть на основе IPsec, должны выполняться в соответствии со стандартизированной процедурой управления изменениями MOF, включающей следующие компоненты.

Корпорация Майкрософт рекомендует использовать в качестве платформы для управления IPsec Windows Server 2003. Чтобы облегчить выполнение задач управления, администраторы могут использовать оснастку MMC политики IPsec или средство Netsh с интерфейсом командной строки в консоли Windows Server 2003. В остальном управление политиками IPsec представляет собой довольно рутинную процедуру, поскольку они реализуются через групповую политику. Таким образом, добавление новых компьютеров в надежную сеть можно автоматизировать при использовании установленного процесса добавления компьютера.

Однако при рассмотрении изменений необходимо принимать во внимание ряд факторов.

Другой аспект управления заключается в способе изоляции подозрительных компьютеров при заражении. Ниже перечислено несколько способов борьбы с вредоносными действиями.