Опубликовано: 17 февраля 2000 г.
Протокол IPSec (Internet Protocol Security) обеспечивает прозрачную для приложений и пользователей защищенную передачу данных в IP-сетях с использованием служб шифрования, а также защиту сетевого доступа в окружении Windows 2000.
Основное внимание в руководстве уделено скорейшему способу организации защищенной передачи данных между сервером и клиентом посредством IPSec. В этом руководстве показано, как с использованием политик IPSec по умолчанию обеспечить защиту передаваемых между двумя компьютерами данных, работающими под управлением ОС семейства Windows 2000 и находящихся в составе домена Windows 2000. С данным руководством в течение 30 минут Вы сможете ознакомиться с IPSec-политиками по умолчанию, для того чтобы выполнить процедуры, описанные в первой части данного руководства, Вам потребуется два компьютера принадлежащих домену. В примечаниях указано, как обеспечить взаимодействие с сервером клиентов, не поддерживающих IPSec. Далее во второй части руководства на примере пошаговых процедур объясняется, как использовать сертификаты, а также то, как построить свою собственную политику для проверки возможности взаимодействия или демонстрации IPSec в отсутствии домена Windows 2000.
На этой странице
Объяснение процесса IKE-согласования (для опытных пользователей) |
Введение
Используя протокол IPSec, Вы можете обеспечить конфиденциальность, целостность, подлинность и защиту данных от перехвата при передаче в сети с использованием следующих режимов:
• | Транспортный режим IPSec обеспечивает защиту соединений клиент-сервер, сервер-сервер и клиент-клиент. |
• | Туннельный режим IPSec с использованием протокола L2TP обеспечивают безопасный удаленный доступ клиенту через Интернет. |
IPSec обеспечивает следующие типы защищенных соединений:
• | подключения типа шлюз-шлюз через глобальную сеть (WAN); |
• | подключения через Интернет с использованием туннелей L2TP/IPSec; |
• | подключения через Интернет с использованием туннельного режима IPSec. |
Туннельный режим IPSec не предназначен для организации удаленного доступа в виртуальных частных сетях VPN. Операционная система Windows 2000 Server упрощает развертывание и управление сетевой безопасностью с помощью компонента Windows 2000 IP Security, который является рабочей реализацией IPSec. Для протокола IPSec, разработанного группой IETF в качестве архитектуры безопасности для IP-протокола, определен формат IP-пакетов и соответствующая инфраструктура для обеспечения надежной аутентификации, целостности и (опционально) конфиденциальности при передаче данных по сетям. Согласование безопасности и служба управления автоматическими ключами также обеспечивается благодаря возможностям обмена ключей в Интернете (Internet Key Exchange, IKE), определенного IETF в документе RFC 2409. Протокол IPSec и связанные службы, входящие в состав семейства ОС Windows 2000, разработаны совместно корпорациями Microsoft и Cisco Systems Inc.
Безопасность IP в Windows 2000 обеспечивается архитектурой IPSec, предложенной IETF, с возможностью интеграции в доменах Windows со службой каталогов Active Directory. Служба каталогов Active Directory позволяет организовать управление сетью на основе политик, что дает возможность использовать групповую политику для назначения и распространения IPSec-политики на членов домена Windows 2000.
Реализация IKE обеспечивает три метода аутентификации, определенных стандартами IETF с целью установления доверительных отношений между компьютерами:
• | Аутентификация Kerberos v5.0, предоставляемая инфраструктурой домена на основе Windows 2000, используется для осуществления безопасного взаимодействиями между компьютерами из одного домена, а так же из различных доменов, между которыми установлены доверительные отношения. |
• | Подписи открытого/закрытого ключа, использующие сертификаты, совместимые с системами сертификатов различных производителей, таких как Microsoft, Entrust, VeriSign и Netscape. |
• | Пароли, называемые предварительными ключами аутентификации (pre-shared authentication keys), используются строго для установления доверительных отношений, но не для защиты пакетов данных приложений. |
Как только компьютеры аутентифицировали друг друга, ими генерируется множество ключей для шифрования пакетов данных приложений. Эти ключи, известные только двумя компьютерами, обеспечивают защиту данных от модификации, а также от анализа данных злоумышленниками, возможно, находящимися в сети. Каждый из этих компьютеров использует IKE для согласования типа и размера используемого ключа, а также других параметров безопасности, используемой для защиты потоков данных приложений. Для обеспечения постоянной защиты эти ключи автоматически обновляются в соответствии с настройками политики IPSec, контролируемой администратором.
Варианты использования IPSec
Протокол IPSec в Windows 2000 разработан таким образом, что при его внедрении сетевыми администраторами обеспечивается прозрачная для пользователей и приложений защита данных. В любом случае наиболее простым способом реализации безопасности доверительных доменных отношений является использование аутентификации Kerberos. Сертификаты или предварительные ключи могут быть использованы при отсутствии доверительных доменных отношений или при использовании средств межсетевого взаимодействия сторонних производителей. Вы можете использовать групповую политику IPSec для распространения конфигурации протокола IPSec на множество клиентов и серверов.
Безопасность серверов
В зависимости от того, как администратор конфигурирует сервер, безопасность IPSec для всей одноадресной передачи данных может быть либо запрашиваемой, но не обязательной, либо требуемой. При использовании этой модели, для ответов на запросы безопасности от серверов, клиентам достаточно применения политики по умолчанию. После того, как будут выполнены сопоставления безопасности IPSec (по одному в каждом из направлений) и установлено соединение между сервером и клиентом, это соединение будет оставаться активным еще в течение одного часа после того, как между ними был передан последний пакет данных.
По истечении этого часа клиентом аннулируется сопоставление безопасности, и он возвращается в изначальное состояние «только ответ». Если впоследствии клиент снова отправит пакеты открытым текстом на тот же сервер, то сервер восстановит безопасное подключение IPSec. Этот простейший способ обеспечивает безопасность, если начальные пакеты, отправляемые приложением на сервер, не содержат конфиденциальных данных и если политикой сервера разрешен прием незащищенных пакетов, отправляемых клиентами открытым текстом.
Предупреждение. Такая конфигурация подходит только для серверов, расположенных во внутренней сети, поскольку серверу, сконфигурированному политикой IPSec, разрешено принимать незащищенные пакеты, отправленные открытым текстом. Если сервер подключен к сети Интернет, то такая конфигурация использоваться не должна, поскольку в этом случае он не будет защищен от возможных атак на службу, отвечающую за возможность приема незащищенных пакетов (DoS атаки).
Изолированные серверы
Если сервер напрямую доступен из Интернета или если все пакеты, отправляемые клиентом, содержат конфиденциальные данные, то на клиенте должна быть применена политика IPSec, в соответствии с которой необходимо использовать IPSec при попытках отправки данных на сервер. В данном руководстве не будет рассмотрена такая конфигурация, но Вы можете ее создать, выполнив процедуры, описанные в разделе «Конфигурирование действий фильтров IPSec».
На клиентах и серверах могут быть сконфигурированы особые правила для разрешения, блокирования или защиты только конкретных пакетов (определенных протоколом или портом). Этот способ является наиболее сложным с точки зрения конфигурирования и выявления ошибок, поскольку он требует глубоких знаний типов сетевого трафика, используемых приложениями, и административного координирования для гарантии того, что на всех клиентах и серверах применены соответствующие политики.
Предварительные условия
Это руководство организовано в форме пособия к лабораторной работе, с помощью которого сетевые и системные администраторы смогут получить знания и понимание того, как работает IPSec в среде Windows 2000. Вы можете сконфигурировать политику IPSec локально на каждом компьютере, а затем внедрить и протестировать эту политику в сети, чтобы убедиться в защите сетевых коммуникаций. Для выполнения процедур, описанных в данном руководстве, Вам потребуется следующее:
Два компьютера, работающих под управлением ОС Windows 2000. Вы будете использовать два компьютера, принадлежащих домену и работающих под управлением ОС Windows 2000 Professional, один из них будет выступать в роли клиента, а другой в качестве сервера с точки зрения IPSec, при этом компьютеры могут входить в состав одного домена, либо в разные домены, между которыми установлены доверительные междоменные отношения. | |
• | Контроллер домена под управлением Windows 2000 Server. |
• | Локальная или глобальная сеть, соединяющая эти три компьютера. |
Инфраструктура, принятая в качестве основной, описана в Пошаговом руководстве по развертыванию базовой инфраструктуры Windows 2000 Server (Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment) http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx (EN).
Если Вы не используете основную инфраструктуру, Вам необходимо выполнить соответствующие изменения процедур, описанных в данном руководстве. Для выполнения действий описанных в разделе «Использование сертификатов при проверке подлинности» потребуется возможность подключения к серверу, работающему в качестве центра сертификации (ЦС). Если Вам понадобится установить сервер ЦС в Вашей сети, Вы можете воспользоваться Пошаговым руководством по настройке центра сертификации (Step by Step Guide to Setting Up a Certificate Authority) http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.aspю (EN).
Если у Вас есть сервер Kerberos v5, совместимый с MIT, и Вам необходимо проверить IPSec Windows 2000 при использовании Kerberos, Вы можете воспользоваться Пошаговым руководством по взаимодействию с Kerberos v5 (Step-by-Step Guide to Kerberos 5 Interoperability) http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp (EN).
В этом случае в Вашем распоряжении должны быть два компьютера, принадлежащих домену, поскольку аутентификация Kerberos обеспечивается контроллером домена. Также Вы можете использовать IPSec и на компьютерах, не принадлежащих домену. Для этого обратитесь к разделу, посвященному созданию пользовательской политики.
После выполнения процедур, описанных в данном руководстве, Вы будете иметь возможность:
• | Использовать встроенную политику IPSec. |
• | Создать свою собственную политику IPSec. |
• | Определить состояние безопасности IP. |
Необходимая информация
Вам потребуется следующая информация о компьютерах участвующих в тесте:
• | Имя компьютера (щелкните правой кнопкой мышки на значке Мой компьютер (My Computer), выберите Свойства (Properties) и перейдите на вкладку Сетевая Идентификация (Network Identification)). |
• | IP-адреса Ваших компьютеров (нажмите кнопку Пуск (Start), затем нажмите Выполнить (Run), введите cmd и нажмите OK. Введите в командной строке ipconfig и нажмите Enter. После определения IP-адресов введите exit и нажмите Enter). |
Подготовка к тестированию
Создание пользовательской консоли
Войдете в систему на первом тестовом компьютере в качестве пользователя с правами администратора. В нашем примере этот компьютер называется HQ-RES-WRK-01.
Примечание. Далее в этом документе HQ-RES-WRK-01 будет относиться к первому тестовому компьютеру, а HQ-RES-WRK-02 – ко второму. Если Ваши компьютеры имеют иные имена, то при выполнении процедур используйте их действительные имена.
Для создания пользовательской консоли MMC
1. | На рабочем столе нажмите Пуск (Start), нажмите Выполнить (Run), в поле Открыть (Open) введите mmc. Нажмите OK. |
2. | В меню Консоль (Console) нажмите Добавить или удалить оснастку (Add/Remove Snap-in). |
3. | В диалоговом окне Добавить/Удалить оснастку (Add/Remove Snap-in) нажмите Добавить (Add). |
4. | В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) выберите Управление компьютером (Computer Management) и затем нажмите Добавить (Add). |
5. | Убедитесь, что выбрано управление локальным компьютером (Local Computer) и нажмите Готово (Finish). |
6. | В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) выберите оснастку Групповая политика (Group Policy) и затем нажмите Добавить (Add). |
7. | Убедитесь, что в диалоговом окне Выбор объекта групповой политики (Select Group Policy Object) выбрано управление локальным компьютером (Local Computer), и нажмите Готово (Finish). |
8. | В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) выберите Сертификаты (Certificates) и затем нажмите Добавить (Add). |
9. | Выберите учетную запись компьютера (Computer Account) и нажмите Далее (Next). |
10. | Убедитесь, что выбрано управление локальным компьютером (Local Computer), и нажмите Готово (Finish). |
11. | Закройте диалоговое окно Добавить изолированную оснастку (Add Standalone Snap-in), нажав кнопку Закрыть (Close). |
12. | Закройте диалоговое окно Добавить/удалить оснастку (Add/Remove Snap-in) нажав OK. |
Активирование политик аудита для Вашего компьютера
В следующей процедуре Вы будете настраивать аудит событий, которые будут регистрироваться при коммуникациях с использованием IPSec. Позднее это окажется полезным при подтверждении того, что IPSec работает корректно.
Чтобы активировать политику аудита
1. | В консоли MMC выберите Политика «Локальный компьютер» (Local Computer Policy) на левой панели и раскройте дерево, нажав [+]. Найдите узел Политика аудита (Audit Policy), для чего поочередно раскройте следующие узлы: Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings), Параметры безопасности (Security Settings) и затем Локальные политики (Local Policies).  Рисунок 1 - Расположение узла Политика аудита (Audit Policy) в консоли MMC |
2. | В списке политик, отображенном на правой панели, дважды щелкните Аудит входа в систему (Audit Logon Events), в результате чего отобразится диалоговое окно Аудит входа в систему (Audit Logon Events). |
3. | В диалоговом окне Аудит входа в систему (Audit Logon Events) для регистрации успешных и неудачных попыток в секции Вести аудит следующих попыток доступа (Audit these attempts) установите флажки Успех (Success) и Отказ (Failed) и нажмите OK. |
4. | Повторите этапы 2 и 3 для политики Аудит доступа к объектам (Audit Object Access). |
Конфигурирование монитора IP-безопасности
Для контроля установленных безопасных подключений, которые будут созданы с помощью политик IPSec, используйте инструмент Монитор IP-безопасности (IP Security Monitor). Перед созданием любых политик, в первую очередь, запустите и сконфигурируйте данный инструмент.
Для запуска и конфигурирования монитора IP-безопасности
1. | Для запуска инструмента Монитор IP-безопасности (IP Security Monitor) нажмите Пуск (Start), затем Выполнить (Run), в поле Open (Открыть) введите ipsecmon и нажмите OK. |
2. | В диалоговом окне монитора IP-безопасности нажмите кнопку Параметры (Options) и измените значение по умолчанию Время перепроверки (Refresh Seconds) c 15 до 1, после чего нажмите OK. |
3. | Сверните окно монитора IP-безопасности. |
Впоследствии Вы будете пользоваться этим инструментом для контроля политик при выполнении различных процедур, описанных в данном руководстве. Вернитесь в начало раздела «Создание пользовательской консоли MMC» и повторите все описанные этапы для второго компьютера (в нашем примере этот компьютер называется HQ-RES-WRK-02).
Использование встроенной политики IPSec
В этом упражнении Вы будете активировать одну из встроенных политик IPSec для защиты трафика между двумя компьютерами. В качестве базового метода аутентификации политики по умолчанию используют проверку подлинности Kerberos. Поскольку оба компьютера являются членами домена Windows 2000, потребуется минимальные конфигурационные изменения.
Для активации политики на компьютере HQ-RES-WRK-01
1. | В созданной Вами ранее консоли MMC выберите на левой панели Политики безопасности IP на «Локальный компьютер» (IP Security Policies on Local Machine). На правой панели будут отображены три элемента: Клиент (Только ответ) (Client), Безопасность сервера (Требовать безопасность) (Secure Server) и Сервер (Запрос безопасности) (Server). |
2. | Щелкните правой кнопкой мыши на элементе Безопасность сервера (Требовать безопасность) (Secure Server) и выберите Назначить (Assign). Состояние в колонке Назначенная Политика (Policy Assigned) должно измениться с Нет (No) на Да (Yes). |
3. | Повторите этап 1 на компьютере HQ-RES-WRK-02. Щелкните правой кнопкой мыши на элементе Клиент (Только ответ) Client и затем выберите Назначить (Assign). Состояние в колонке Назначенная политика (Policy Assigned) изменится с Нет (No) к Да (Yes). Теперь первый компьютер (HQ-RES-WRK-01) выступает в качестве сервера безопасности, а второй (HQ-RES-WRK-02) – в качестве клиента. Если клиент первым попытается отправить открытым текстом (незащищенные) эхо-пакеты ICMP (используя утилиту ping) на сервер, то сервер потребует безопасности от клиента, и после ее установления последующие соединения будут защищенными. Если бы сервер выступил инициатором команды ping, то отправленные эхо-пакеты были бы защищены перед их отсылкой сервером. Если бы клиентский компьютер также использовал политику сервера безопасности, то он бы не отправил незащищенные эхо-пакеты, как, впрочем, и любой другой трафик. Все же желательно, установить защиту IPSec, до начала передачи данных приложениями. Если же оба компьютера используют политики клиента, то данные не будут защищены, поскольку ни одна из сторон не потребует безопасности. |
4. | На компьютере HQ-RES-WRK-02 нажмите Пуск (Start), нажмите Выполнить (Run), введите cmd в текстовом поле и нажмите OK. Напечатайте ping IP1 (IP-адрес компьютера HQ-RES-WRK-01). В этом примере IP1 равен 10.10.1.5. Как изображено ниже на Рисунке 2, результаты команды ping указывают, что выполняется согласование IPSec.  Рисунок 2 – Результаты команды ping указывают на установление IPSec |
5. | Восстановите свернутое ранее окно монитора IP-безопасности (IP Security Monitor). Вы должны увидеть детали сопоставления безопасности (Security Association), которое используется между двумя компьютерами, а также статистику о полученных и отправленных проверенных (Authenticated) и секретных (Confidential) байтов. |
6. | Повторите команду ping. Теперь между этими двумя компьютерами установлено сопоставление безопасности IPSec, и Вы должны будете успешно получить ответы команды ping, как показано на Рисунке 3. В этом примере IP1 равен 10.10.1.5.  Рисунок 3- Успешные ответы команды ping |
7. | Продолжая работать на компьютере HQ-RES-WRK-02, на левой панели MMC раскройте узел Управление компьютером (Computer Management), щелкнув соответствующий значок [+], затем раскройте узел Служебные программы (System Tools), раскройте узел Просмотр событий (Event Viewer) и щелкните по журналу Безопасность (Security Log). Щелкните дважды по наиболее свежей записи в журнале, имеющей тип Аудит успехов (Success Audit), расположенной на правой панели. |
8. | Вы должны увидеть информацию о событии установленного сопоставления безопасности IPSec. Используйте полосу прокрутки для просмотра описания. Содержание этой записи должно быть аналогично изображенной ниже (имя компьютера и IP-адрес конечно будут отличаться в зависимости от конфигурации Вашей сети): Установлено сопоставление безопасности IKE |
Итак, Вы успешно установили и сконфигурировали протокол IPSec между двумя компьютерами.
Влияние политики безопасность сервера на компьютер
Только клиенты IPSec, имеющие возможность устанавливать безопасные подключения, могут взаимодействовать с компьютером – сервером безопасности. Кроме того, сервер безопасности не будет иметь возможности взаимодействовать с другими системами, например, с DNS-серверами, конечно, если они не используют защищенную передачу данных IPSec. Поскольку многие службы работают в фоновом режиме, то, вероятно, им будет отказано в подключении и будет создана соответствующая запись в журнале событий. Это нормальная ситуация, поскольку политика Безопасность сервера (Secure Server) очень строгая и требует, чтобы в сети практически все IP-пакеты были защищенными. Для реального использования в рабочем окружении Вы должны создать такую пользовательскую политику, которая будет соответствовать Вашим требованиям: топологии сети и конкретным приложениями, которые используют сервер.
Разрешение клиентам, не использующим IPSec, взаимодействовать с сервером
Для разрешения клиентам, не использующим IPSec, также взаимодействовать с сервером, Вы должны назначить политику Сервер (Запрос безопасности) (Server) вместо политики Безопасность сервера (Требовать безопасность) (Secure Server). Эта политика хотя и требует безопасность, но разрешает незащищенное взаимодействие с клиентами, допуская передачу сообщений открытым текстом, если клиент не ответил на запрос согласования IKE, если же клиент ответил на запрос IKE согласования, то согласование будет выполнено. Если согласование не выполнено, соединение будет блокировано на одну минуту, по истечении которой будут повторены попытки выполнить согласование. Подробное объяснение настроек, используемых для контроля этого способа, смотрите в разделе «Конфигурирование действия фильтров IPSec».
Отмените использование следующих политик: Клиент (Только ответ) (Client), Безопасность сервера (Требовать безопасность) (Secure Server) или Сервер (Запрос безопасности) (Server) для возвращения Ваших компьютеров в исходное состояние. Для этого щелкните правой кнопкой мышки по используемой политике на правой панели консоли (находящейся в узле Политики безопасности IP на «Локальный компьютер» (IP Security Policies on Local Machine)) и нажмите Снять (Unassign).
Создание пользовательской политики IPSec
В предыдущем разделе мы использовали одну из встроенных политик IPSec для защиты передачи данных между двумя компьютерами, принадлежащих домену. Если Вам необходимо защитить передачу данных между компьютерами, которые не входят в домен, то Вам понадобится создать собственную политику, поскольку встроенные политики требуют проверку подлинности Kerberos, предоставляемую контроллером домена. Имеются и другие причины необходимости создания пользовательской политики, например, если Вам необходимо защитить передаваемые данные на основе сетевых адресов. В этом разделе мы будем создавать пользовательские политики, вначале определяя правила безопасности, затем – список фильтров, а в конце – действия фильтров.
Конфигурирование политики IPSec
Перед конфигурированием метода проверки подлинности IPSec (IPSec Authentication Method) списка фильтров (Filter List) или метода согласования (Negotiation method) Вы сначала должны создать новую политику.
Чтобы создать политику IPSec
1. | На компьютере HQ-RES-WRK-01 в консоли MMC щелкните правой кнопкой мыши по узлу Политики безопасности IP на «Локальный компьютер» (IP Security Policies on Local Machine), затем нажмите Создать политику безопасности IP (Create IP Security Policy). Отобразится Мастер политики IP-безопасности (IP Security Policy Wizard). |
2. | Нажмите кнопку Далее (Next). |
3. | Введите Partner в качестве названия Вашей политики и нажмите кнопку Далее (Next). |
4. | Снимите флажок Использовать правило по умолчанию (Activate the default response rule) и нажмите кнопку Далее (Next). |
5. | Убедитесь, что установлен флажок по умолчанию Изменить свойства (Edit Properties), и нажмите кнопку Готово (Finish). |
6. | В диалоговом окне созданной Вами политики убедитесь, что установлен флажок Использовать мастер (Use Add Wizard), расположенный в нижнем правом углу, и затем нажмите кнопку Добавить (Add) для запуска Мастера правил безопасности (Security Rule Wizard). |
7. | Нажмите кнопку Далее (Next) для продолжения работы Мастера правил безопасности (Security Rule Wizard), запущенного на предыдущем шаге. |
8. | Убедитесь, что переключатель установлен в положение по умолчанию Это правило не определяет туннель (This rule does not specify a tunnel). Нажмите Далее (Next). |
9. | Убедитесь, что переключатель установлен в положение Все сетевые подключения (All network connections). В это положение переключатель установлен по умолчанию. Нажмите кнопку Далее (Next). |
Конфигурирование Метода проверки подлинности IKE (IKE Authentication Method)
Далее Вы должны указать, каким образом будет организовано доверие между компьютерами, определив, как они будут подтверждать свою подлинность, и как они будут проверять подлинность другого компьютера при попытке установить сопоставление безопасности. В Windows 2000 обеспечивается три метода проверки подлинности IKE для установления доверительных отношений между компьютерами:
• | Аутентификация Kerberos v5 обеспечивается доменом Windows 2000, который выступает в качестве центра распространения ключей Kerberos v5 (Key Distribution Center). Kerberos обеспечивает безопасные взаимодействия между компьютерами, работающими под управлением Windows 2000 и принадлежащими домену, а также доменам, с которыми установлены доверительные отношения. IKE использует только свойства проверки подлинности Kerberos. Генерация ключей для сопоставления безопасности IPSec выполняется с использованием методов, описанных в RFC 2409. Эти методы также описаны в документе draft-ietf-ipsec-isakmp-gss-auth-02.txt. |
• | Подписи открытого/закрытого ключа, используют сертификаты, совместимые с системами сертификатов различных производителей, таких как Microsoft, Entrust, VeriSign и Netscape. |
• | Предварительные ключи проверки подлинности (которые являются паролями) используются только для установления доверительных отношений между компьютерами. |
В этом упражнении Вы будете использовать предварительные ключи проверки подлинности. Два компьютера, участвующие в коммуникациях в ролях отправителя и получателя, должны знать кодовое слово, которое используется для установки доверительных отношений. Этот пароль не используется для шифрования передаваемых данных. Этот пароль используется только при согласовании, чтобы установить, доверяют ли компьютеры друг другу. Согласование IKE использует этот пароль, но не передает его через сеть. Однако ключи проверки подлинности хранятся открытым текстом в политике IPSec. Любой пользователь с достаточными правами доступа к компьютеру (или любой обладающий корректным идентификатором пользователя для компьютера, принадлежащего домену, в котором политика IPSec хранится в службе каталогов Active Directory) может узнать этот ключ проверки подлинности. Администратор домена должен настроить контроль доступа к каталогу политики IPSec таким образом, чтобы предотвратить возможность просмотра политики IPSec. Вследствие этого корпорацией Microsoft не рекомендуется использовать предварительные ключи при проверке подлинности IPSec, за исключением либо тестирования, либо в случаях, необходимых для обеспечения взаимодействия с реализациями IPSec сторонних производителей. Корпорацией Microsoft рекомендуется использовать либо Kerberos, либо проверку подлинности с использованием сертификатов вместо применения предварительных ключей.
Для конфигурирования метода проверки подлинности по правилу
1. | Выберите Использовать данную строку для защиты обмена ключами (Use this string to protect this key exchange) и введите ABC123. Вы не должны использовать пустую строку. Нажмите кнопку Далее (Next). |
Примечание. Если Вам потребуется при проверке подлинности использовать сертификаты, изучите соответствующие инструкции о получении сертификатов с публичных серверов сертификатов корпорации Microsoft, доступных в Интернет.
Конфигурирование списка фильтров IPSec
Безопасность IP организованная на уровне IP-пакетов применяется при их отправке и получении. При отправке пакетов на основе исходящих фильтров определяется требуемое действие: должен ли пакет быть зашифрован, блокирован или отправлен открытым текстом. Также и при получении пакетов на основании входящих фильтров определяется, какие пакеты должны были быть зашифрованы, блокированы, или приняты компьютером. Имеется два типа фильтров: первый управляет безопасностью транспортного режима IPSec, второй – безопасностью туннельного режима IPSec. Туннельные фильтры имеют более высокий приоритет и применяются первыми, а затем, если не применены другие параметры, будут использованы фильтры транспортного режима. Некоторые типы IP-трафика не могут быть защищены с помощью транспортных фильтров. В их число входят следующие типы трафика:
• | Широковещательные адреса, обычно заканчивающиеся на .255 с соответствующей маской подсети. |
• | Групповые адреса из диапазона 244.0.0.0-239.255.255.255. |
• | Протокол RSVP-IP тип 46. Это позволяет RSVP определить запрос QoS (Quality of Service) для трафика, используемого приложениями, который также может быть защищен IPSec. |
• | 88 порт UDP, используемый протоколом Kerberos, который сам по себе является защищенным протоколом и который используется в IPSec при согласовании IKE при аутентификации других компьютеров в домене. |
• | 500 порт UDP, используемый службой IKE. Этот порт используется при согласовании параметров IKE для безопасности IPSec. |
Эти исключения распространяются на фильтры транспортного режима IPSec. Фильтры транспортного режима применяются к пакетам, относящимся к конкретному узлу (хосту), в которых в качестве адреса указан адрес отправителя – компьютера, отправившего пакет, или адрес получателя – компьютера, получившего пакет. Туннели IPSec могут применяться только для защиты одноадресной передачи данных. Фильтры, используемые для туннелей IPSec, должны быть основаны только на адресах, а не на значениях портов или типах протоколов. Если туннельный фильтр основан на конкретном порте или протоколе, то в таком случае фрагменты исходного пакета не будут переданы через туннель, и в результате этого весь пакет будет потерян. Если одноадресные пакеты Kerberos, IKE или RSVP получены на одном интерфейсе и маршрутизируются через другой интерфейс (используя службу маршрутизации и удаленного доступа (Routing and Remote Access Service) или пересылку пакетов), то они не будут исключены из фильтров туннельного режима IPSec и, соответственно, будут переданы через туннель. Фильтры туннельного режима IPSec не могут использоваться при фильтрации широковещательных или групповых пакетов, поскольку такие пакеты не могут быть переданы через туннели IPSec.
Индивидуальные фильтры группируются в объекты – списки фильтров, которые используются для разрешения сложных моделей передачи данных. Эти списки группируются и управляются не индивидуально, а единым объектом – списком фильтров, например «Файл-серверы здания №7» или «Весь блокируемый трафик». Списки фильтров могут совместно использоваться различными правилами IPSec как в пределах одной политики, так и различными IPSec-политиками.
При конфигурировании IP-фильтров для защищенного трафика всегда убеждайтесь, что установлен флажок Отраженный (Mirrored) в диалоговом окне свойств фильтра. Отражение фильтров конфигурируется автоматически как для входящих, так и для исходящих фильтров. Вы будете конфигурировать фильтры на компьютерах, для которых настраивается защищенное соединение. Вы должны сконфигурировать исходящий фильтр, указав Ваш IP-адрес в качестве адреса источника и адрес приемника в качестве адреса назначения. Затем в процессе автоматической настройки отраженного входящего фильтра адрес компьютера Вашего партнера будет определен в качестве адреса источника, а адрес Вашего компьютера – в качестве адреса назначения. В примере, описанном ниже, будет определен только один отраженный список фильтров для сконфигурированного списка фильтров.
Один и тот же список фильтров потребуется определить на обоих компьютерах.
Чтобы сконфигурировать список IP-фильтров
1. | В диалоговом окне Список фильтров IP (IP Filter List) нажмите кнопку Добавить (Add). Отобразится пустой список IP-фильтров. Введите имя Вашего фильтра Partner Filter. |
2. | Убедитесь, что установлен флажок Использовать мастер (Use Add Wizard), расположенный в правой части окна, и нажмите кнопку Добавить (Add). Будет запущен Мастер фильтров IP (IP Filter Wizard). |
3. | Нажмите кнопку Далее (Next) для продолжения. |
4. | Из списка исходных адресов выберите Мой IP-адрес (My IP Address), который используется по умолчанию в качестве адреса источника, и нажмите кнопку Далее (Next). |
5. | Из выпадающего списка адреса назначения выберите Определенный IP-адрес (A Specific IP address), введите IP-адрес второго компьютера и затем нажмите кнопку Далее (Next). |
6. | Выберите тип протокола Любой (Any) и нажмите Далее (Next). |
7. | Убедитесь, что отсутствует флажок в поле Изменить свойства (Edit Properties) (это настройка по умолчанию), и нажмите кнопку Готово (Finish). |
8. | Закройте диалоговое окно Список фильтров IP (IP Filter List), нажав кнопку Закрыть (Close). Вы вернетесь в Мастер правил безопасности (New Rule Wizard). |
9. | В диалоговом окне Списки фильтров IP (IP Filter List) установите переключатель в позицию Partner Filter.  Рисунок 4 – Выбор фильтра Partner |
10. | Нажмите кнопку Далее (Next). |
Прочтите следующий раздел перед выполнением процедуры конфигурирования действия фильтров.
Конфигурирование действий фильтров IPSec
У Вас есть только что сконфигурированные входящий и исходящий фильтры для соответствующих TCP/IP пакетов. На следующем этапе необходимо определить действия, применяемые для этих пакетов. Вы можете разрешить, заблокировать или защитить пакет в соответствии с настройками фильтров. Если Вам необходимо защитить передачу данных, оба компьютера должны иметь совместно сконфигурированные политики согласования. Настройки фильтров по умолчанию отлично подходят для проверки различных возможностей протокола IPSec. Если Вам необходимо протестировать специальные возможности, Вы должны создать свое собственное новое действие фильтра.
Существует следующие два способа разрешения взаимодействий с компьютерами, которые не используют IPSec:
• | Использование действия фильтра Разрешить (Permit) допускает незащищенную передачу пакетов открытым текстом. Используйте это действие в фильтре, который соответствует разрешенному Вами трафику и используется в Вашем собственном правиле IPSec-политики. Обычно разрешенный трафик используется для таких протоколов как ICMP, DNS и SNMP, либо для разрешения передачи данных конкретного направления, например, на шлюз по умолчанию, на серверы DNS и DHCP или другие системы, которые не используют IPSec. |
• | · Конфигурирование действия Вашего фильтра с использованием настройки Использовать небезопасное соединение (Fall back to unsecured communication). С этой опцией Вы встретитесь в мастере. При выборе этой опцию в мастере, в фильтре будет установлен параметр Разрешить связь с компьютерами не поддерживающими IPSec (Allow unsecured communication with non-IPSec aware computer), который разрешает небезопасное соединение с компьютерами, которые не используют IPSec. Применение этой настройки допускает незащищенные соединения с адресатом, понижая при этом уровень безопасности до передачи пакетов открытым текстом, если адресат не ответил на запрос согласования IKE. Если в другой раз клиент ответит на запрос согласования IKE, то процесс согласования будет выполнен и передача данных будет защищена. Если IKE-согласование не было успешно выполнено, то исходящие пакеты, соответствующие фильтру, будут отброшены (заблокированы) на одну минуту, после чего при отправке других пакеты будет произведена попытка выполнить IKE-согласование. Эта настройка влияет только на IKE-согласование, инициируемое компьютером. Она не влияет на компьютер, получающий запросы и, следовательно, на отправку ответов. В документе RFC 2409 не определена методика IKE-согласования того, какой режим будет использоваться (обычное согласование, незащищенный режим или режим открытого текста). |
Чтобы сконфигурировать действие фильтра
1. | В диалоговом окне Мастера правил безопасности (Security Rule Wizard), изображенном на Рисунке 5, установите флажок в поле Использовать мастер (Use Add Wizard) и нажмите кнопку Добавить (Add).  Рисунок 5 – Убедитесь, что установлен флажок Use Add Wizard |
2. | Для продолжения работы Мастера применения фильтра (Filter Action Wizard) нажмите кнопку Далее (Next). |
3. | Введите название этого действия фильтра Partner Filter Action и нажмите Далее (Next). |
4. | В диалоговом окне Общие параметры действия фильтра (Filter Action General Options) выберите Согласовать безопасность (Negotiate Security) и затем нажмите кнопку Далее (Next). |
5. | На следующей странице мастера нажмите Не соединять с компьютерами, не поддерживающими IPSec (Do not communicate with computers that do not support IPSec) и нажмите кнопку Далее (Next). |
6. | В списке методов безопасности выберите Средняя безопасность (AH) (Medium) и нажмите кнопку Далее (Next). |
7. | Убедитесь, что отсутствует флажок в поле Изменить свойства (Edit Properties) (это настройка по умолчанию) и нажмите кнопку Готово (Finish) для завершения работы мастера. |
8. | В диалоговом окне Действие фильтра (Filter Action) установите переключатель в позицию, соответствующую действию фильтра Partner Filter Action, и нажмите кнопку Далее (Next). |
9. | Убедитесь, что отсутствует флажок в поле Изменить свойства (Edit Properties) (это настройка по умолчанию), и затем нажмите кнопку Готово (Finish). Вы только что настроили действие фильтра, которое будет использоваться при согласовании с компьютером, с которым будет установлено защищенное соединение. Помните, что Вы можете также использовать действие этого фильтра и в других политиках. |
10. | На отображенной странице Свойства (Properties) нажмите Закрыть (Close). Вы завершили настройку политики IPSec. |
Перед началом использования фильтров Вы должны повторить все этапы этой процедуры на компьютере HQ-RES-WRK-02.
Тестирование Вашей пользовательской политики IPSec
После того, как Вы создали политику IPSec, Вы должны проверить ее перед применением в рабочем окружении.
Чтобы протестировать Вашу пользовательскую политику IPSec
1. | На левой панели консоли MMC выберите Политики безопасности IP на «Локальный компьютер» (IP Security Policies on Local Machine). Заметьте, что, в дополнение к трем встроенным политикам, только что сконфигурированная Вами политика Partner также будет отображена на правой панели. |
2. | Щелкните правой кнопкой мыши на политике Partner и выберите Назначить (Assign) в контекстном меню. Состояние в колонке Назначенная политика (Policy Assigned) будет изменено с Нет (No) на Да (Yes). Выполните это действие на обоих компьютерах перед продолжением. |
3. | Откройте окно командной строки и введите команду ping partners-ip-address (где partners-ip-address – ip-адрес второго компьютера). Вы должны получить четыре ответа Согласование используемого уровня безопасности IP (Negotiating IP Security). Повторите команду Ping еще раз. Вы должны получить четыре ответа, свидетельствующих об установленном соединении. |
4. | Разверните окно Монитора IP-безопасности (IP Security Monitor), ранее свернутое Вами. Вы увидите подробности о сопоставлении безопасности (Security Association), которая сейчас используется между двумя компьютерами, а также статистику в виде количества переданных Проверенных (Authenticated) и Секретных (Confidential) байтов и многое другое. После этого сверните это окно. |
5. | На левой панели консоли MMC выберите Управление компьютером (Computer Management), перейдите в Служебные программы (System tools), откройте Просмотр событий (Event Viewer) и откройте журнал Безопасности (Security). В журнале безопасности Вы должны увидеть зарегистрированное событие 541, которое сообщает об успешном сопоставлении безопасности IPSec. |
6. | Повторите п.2 и отмените действие политики Partner тем самым, вернув оба компьютера в предыдущее состояние. Для этого щелкните правой кнопкой мышки на этой политике и нажмите Снять (Unassign). |
Использование сертификатов для проверки подлинности
Реализация IPSec, представленная в Windows 2000, обеспечивает возможность выполнять проверку подлинности с использованием сертификатов при IKE-согласовании. Все подтверждение сертификатов выполняется с помощью API-криптографии (Cryptographic API, CAPI). При согласовании IKE будет определено, какие сертификаты будут использоваться, и какая защита будет применяться при обмене учетными данных сертификатов. Политикой IPSec определяется, какой корневой центр сертификации используется, а не конкретно используемый сертификат. Обе стороны должны иметь общий корневой центр сертификации в своих настройках политики IPSec.
Имеются следующие требования при использовании сертификатов для IPSec:
• | Сертификаты хранятся в учетной записи компьютера (в хранилище сертификатов). |
• | Сертификаты содержат открытый ключ RSA, для которого имеется соответствующий закрытый ключ, который может быть использован для подписей RSA. |
• | Сертификаты должны использоваться только в течение их срока действия. |
• | Корневой центр сертификации является доверенным. |
• | Модулем API-криптографии может быть выстроена действующая цепочка центров сертификации. |
Эти требования являются лишь базовыми, и для IPSec и не требуется, чтобы сертификат компьютера был специального типа IPSec, поскольку присутствующие центры сертификации могут не иметь возможности выдавать сертификаты такого типа.
Получение сертификата от центра сертификации Microsoft для тестирования
Для начала Вы должны получить действующий сертификат с сервера сертификатов. Даже если у Вас есть другой сервер сертификатов и Вам необходимо будет использовать его впоследствии, получите сначала сертификат от центра сертификации Microsoft для тестирования. Также может быть использован любой действующий сертификат компьютера. Сертификаты пользователей не могут быть использованы. Авторами статьи была протестирована совместимость с такими системами сертификации, как Microsoft, Entrust, VeriSign и NetSсape.
Примечание. Не все серверы сертификатов автоматически обрабатывают запрос Вашего компьютера на сертификат. Сертификат должен появиться в хранилище сертификатов локальной учетной записи компьютера в разделе Личные (Personal), и иметься соответствующий сертификат корневого центра сертификации в разделе Доверенные корневые центры сертификации (Trusted Root Certification Authorities). В качестве дополнительной информации ознакомьтесь с материалами, описывающими центры сертификации на Web-сайте http://www.Microsoft.com/.
Чтобы получить сертификат
1. | Откройте Internet Explorer и перейдите на сайт центра сертификации. Если Вы ранее не получали сертификаты от публичных центров сертификации Microsoft, используйте веб-узел http://sectestca1.rte.microsoft.com/. Этот Web-сайт предоставляет доступ к четырем центрам сертификации. Для простоты в этой процедуре используется сертификат, выданный изолированным корневым центром сертификации sectestca3. | ||||||||||||||||||
2. | Выберите Standalone Root (RSA 2048). | ||||||||||||||||||
3. | Выберите Request a Certificate и нажмите Next. | ||||||||||||||||||
4. | Выберите Advanced Request и нажмите Next. | ||||||||||||||||||
5. | Выберите Submit a Certificate Request Using a Form. В форме Advanced Certificate Request введите следующие данные:
| ||||||||||||||||||
6. | Отправьте запрос. Вы получите подтверждающее сообщение, что Вам был выдан сертификат. | ||||||||||||||||||
7. | Нажмите Install this certificate. | ||||||||||||||||||
8. | Вы получите сообщение о том, что сертификат был успешно установлен. Закройте обозреватель Internet Explorer. | ||||||||||||||||||
9. | Откройте пользовательскую консоль MMC, описанную в начале данного руководства, в которую Вы добавили оснастку Сертификаты (Certificates). |
Проверка того, что сертификат успешно за регистрирован
1. | В папке Личные (Personal) должно отображаться имя сертификата компьютера, которое Вы выбрали для тестирования IPSec. |
2. | Раскройте корень Сертификаты (локальный компьютер) (Certificates (Local Computer)) нажав на соответствующий [+]. Раскройте папку Личные (Personal) щелкните по папке Сертификаты (Certificates). На правой панели Вы должны увидеть сертификат, который был выдан администратору (или другому пользователю, под именем которого Вы входили в систему). |
3. | Щелкните дважды по сертификату, отображенному на правой панели. В диалоговом окне Сертификата должно быть отображено сообщение: Есть закрытый ключ, соответствующий этому сертификату (You have a private key that corresponds to this certificate). Обратите внимание на то, что в поле Кем выдан (Issued by) указывается имя центра сертификации (в нашем примере оно должно быть SectestCA3). Нажмите OK. Примечание. Если в свойствах компьютерного сертификата указано: «Не имеется закрытого ключа соответствующего этому сертификату» (You do not have a private key that corresponds to the certificate), то это означает, что регистрация сертификата не была успешно выполнена, и сертификат не будет работать при проверке подлинности IPSec. Вы должны иметь закрытый ключ, соответствующий открытому ключу сертификата компьютера. |
4. | Раскройте Доверенные корневые центры сертификации (Trusted Root Certificate Authorities) и щелкните на папке Сертификаты (Certificates). Прокрутите список и найдите в этом хранилище сертификат с соответствующим названием центра сертификации, указанным в колонке Кем выдан (Issued By). |
5. | Повторите все шаги из этой процедуры для получения сертификата для второй машины, участвующей в тесте. |
Примечание. Если сертификат был получен с сервера сертификатов Microsoft Certificate Server с опцией Strong Private Key Protection (усиленная защита закрытого ключа), пользователь должен будет вводить PIN-код для предоставления доступа к закрытому ключу всякий раз, когда закрытый ключ будет использоваться для подписи данных при согласовании IKE. Поскольку согласование IKE выполняется в фоновом режиме системной службой, то окно запроса PIN-кода не будет отображаться. Поэтому такой сертификат не может быть использован при согласовании IKE.
Определение правил проверки подлинности с помощью сертификатов
При создании нового правила Вы можете выбрать используемый центр сертификации. Перечень сертификатов центров сертификации указан в папке Доверенных корневых центров сертификации (Trusted Root Certificate Authorities), не путайте этот список со списком личных сертификатов Вашего компьютера. Эта спецификация корневого центра сертификации в правилах IPSec служит для двух целей. Во-первых, она обеспечивает IKE корневым центром сертификации, к которому установлено доверие. Службой IKE с Вашего компьютера будет отсылаться запрос корневому центру сертификации о действительности сертификата из этого корневого центра сертификации второго компьютера. Во-вторых, спецификацией центра сертификации определено имя корневого центра сертификации, которое будет использовать Ваш компьютер при осуществлении поиска собственных сертификатов в ответ на запрос со второго компьютера.
Предупреждение. Вы как минимум должны выбрать корневой центр сертификации, к которому может быть выстроена цепочка от сертификата Вашего компьютера, т.е. к центру сертификации самого верхнего уровня в пути сертификации компьютерного сертификата из хранилища Личные (Personal) Вашего компьютера.
1. | Вернитесь в папку Политики безопасности IP на «локальный компьютер» (IP Security Policies) в консоли MMC. |
2. | Щелкните дважды на элементе политики Partner, расположенной на правой панели. |
3. | Убедитесь, что выбрана опция Partner Filter и нажмите Изменить (Edit). |
4. | Установите переключатель в положение Весь IP трафик (All IP Traffic). |
5. | Нажмите Изменить (Edit). |
6. | Убедитесь, что установлен флажок Использовать мастер (New Rule Wizard) и нажмите OK. |
7. | Перейдите на вкладку Методы проверки подлинности (Authentication Methods). |
8. | Выберите Общий ключ (Preshared Key) со значением ABC123 и нажмите Изменить (Edit). |
9. | Выберите опцию Использовать сертификат данного Центра сертификации (Use a certificate from this certificate authority (CA)) и нажмите Обзор (Browse). Выберите центр сертификации, используемый вами прежде, в нашем примере это SecTestCA3.  Рисунок 6 – Выбор сертификата |
10. | Нажмите OK. Редактор правил IPSec (IPSec Rule editor) позволяет Вам создать упорядоченный список центров сертификации, которые Ваш компьютер будет указывать в запросах к другому компьютеру при согласовании IKE. Для подтверждения своей подлинности, на втором компьютере должен иметься сертификат компьютера, который хранится в разделе Личные (Personal) хранилища сертификатов, и был выдан ему одним из корневых центров сертификации, принадлежащих Вашему списку. Вы можете добавить новый центр сертификации в список, а также упорядочить список центров сертификации так, как Вам необходимо. |
11. | Нажмите два раза кнопку OK и нажмите кнопку Завершить (Close). |
12. | На второй тестовой машине полностью повторите эту процедуру. Вы можете выполнить команду ping на каждом компьютере, чтобы убедиться в установленном соединении. |
Вы можете упорядочить список методов аутентификации, определив больший приоритет для сертификатов, затем для проверки подлинности с помощью Kerberos или предварительного ключа. Несмотря на это, у Вас не получится разделить список сертификатов, внеся в его середину запись, не относящуюся к методу аутентификации с помощью сертификатов
Добавляя дополнительные корневые центры сертификации, Вы можете создать список корневых центров сертификации, которым Вы доверяете, этот список может содержать гораздо больше центров сертификации, чем те, от которых Вы получили сертификаты для Вашего компьютера. Это может потребоваться при взаимодействии с несколькими предприятиями.
Важно понимать, что Ваш компьютер может получать запросы сертификатов от удаленных компьютеров, которые могут включать корневые центры сертификации в список корневых центров сертификации, определенных Вами в политике IPSec. Согласуйте с администратором предприятия, с которым Вы взаимодействуете, вопрос о том, какие корневые центры сертификации будут использоваться каждой из сторон.
• | Если вторая сторона просит Вас включить используемый ею центр сертификации в Ваш список, то при IKE-согласовании будет проверено, имеет ли Ваш компьютер действительный сертификат, который имеет цепочку, ведущую к этому корневому центру сертификации. Если Вы включите этот центр сертификации, тогда будет выбран первый действующий сертификат компьютера из раздела хранилища сертификатов Личные (Personal) и отправлен в качестве подтверждения подлинности компьютера. |
• | Если Ваш компьютер получит запрос сертификата, который имеет корневой центр сертификации, но который не определен в правиле политики IPSec, то Ваш компьютер отправит первый сертификат, имеющий цепочку, ведущую к корневому центру сертификации, имя которого определено в его собственном правиле политики IPSec. Запрос сертификатов, согласно документу RFC 2409, является необязательным (опциональным). Но если согласно политике безопасности компьютер использует аутентификацию на основе сертификатов, то он должен отсылать сертификат даже в том случае, если полученный запрос не требует предоставление сертификата IKE, или если в запросе сертификата указан корневой центр сертификации, который отсутствует в политике Вашего компьютера. В данном случае, вероятнее всего, согласование IKE закончится неудачно, поскольку компьютеры так и не смогут согласовать использование корневого центра сертификации. Если же второй стороной будет отправлен запрос, который не включает ни один из Ваших центров сертификатов, то согласование IKE также не будет выполнено. |
Проверка списка отозванных сертификатов (Certificate Revocation List, CRL)
Большинство серверов сертификатов выдают сертификаты, в которых указана точка распространения списка отзыва сертификатов (CRL Distribution Point, CDP). По правилам, для того чтобы компьютер полностью проверил действительность сертификата, он должен проверить, не был ли отозван сертификат его издателем. Поскольку стандарты, описывающие выполнение этой проверки, развиваются, то уже используются различные серверы сертификатов и системы инфраструктуры открытых ключей, поэтому не все системы сертификатов поддерживают этот метод и функциональные возможности проверки списка отзыва сертификатов. Поэтому проверка CRL по умолчанию отключена. Перед разрешением проверки CRL убедитесь, что проверка подлинности с помощью сертификатов успешно выполняется, и Вы проанализировали файл журнала Oakley. (Расположение этого файла указывается в шаге 3, приведенной ниже процедуры).
В IKE для API-криптографии указывается способ выполнения проверки списка CRL для определения действительности сертификата. Для активации проверки списка CRL администратор компьютера должен изменить значения ключей реестра, в соответствии с приведенной ниже процедурой. Корректные параметры этого значения должны быть определены администратором политик IPSec и администратором сервера сертификатов.
Чтобы активировать проверку списка CRL при IKE-согласовании
1. | В меню Пуск (Start) нажмите Выполнить (Run) и введите regedt32. Нажмите OK. Будет запущен Редактор реестра (Registry Editor). | ||||
2. | Перейдите в окно HKEY_LOCAL_MACHINE на локальном компьютере (Local Machine). | ||||
3. | Перейдите в узел System\CurrentControlSet\Services\PolicyAgent. | ||||
4. | Щелкните дважды по узлу PolicyAgent. | ||||
5. | В меню Правка (Edit) нажмите Добавить раздел (Add Key).  Рисунок 7 – Добавление раздела в реестр | ||||
6. | В поле Раздел (Key Name) введите имя раздела Oakley (с учетом регистра). | ||||
7. | Оставьте поле Класс (Class) пустым и нажмите OK. | ||||
8. | Выберите вновь созданный раздел Oakley. | ||||
9. | В меню Правка (Edit) нажмите Добавить параметр (Add Value). | ||||
10. | В поле Параметр (Value Name) введите название значения StrongCrlCheck (c учетом регистра). | ||||
11. | Выберите тип данных REG_DWORD и нажмите OK. Введите значение 1 или 2 в зависимости от необходимого метода действия:
| ||||
12. | Нажмите Шестнадцатеричное (Hex) в качестве представления. Нажмите OK. | ||||
13. | Закройте программу редактор реестра. | ||||
14. | Для перезапуска служб, используемых IPSec, из командной строки выполните сначала команду net stop policyagent, а затем выполните net start policyagent. |
Примечание. Если ваша система сконфигурирована в качестве VPN-сервера с использованием L2TP/IPSec, то Вы должны перезагрузить Windows 2000.
Для отключения режима проверки списка CRL просто удалите значение StrongCRLCheck из раздела Oakley и перезапустите службы или же перезагрузите OC Windows 2000.
Объяснение процесса IKE-согласования (для опытных пользователей)
Этот раздел предназначен для тех, кто хочет более глубоко изучить процессы согласования IKE. Этого не требуется для выполнения ранее описанных в данном руководстве процедур. Подробное описание IPSec, IKE и других аспектов реализации представлено в информационном разделе веб-сайта, относящегося к операционным системам Windows 2000 Server и Professional. (Аналогичная информация представлена в справке, входящей в состав Windows 2000, хотя и с некоторыми незначительными отличиями. Для просмотра справки запустите оснастку IPSec Policy Management и выберите Справка (Help) или нажмите F1).
События отказа и успеха согласования IKE, а также причины отказа регистрируются в журнале Безопасность (Security). Процедура активирования аудита событий описана в начале данного руководства. Если сервер использует встроенную политику Сервер (запрос безопасности) (Server (request security)), либо любую пользовательскую политику, правила которой используют встроенные действия фильтров Запрос безопасности (необязательно) (Request Security (optional)), то согласование IKE может быть исключено в том случае, если адресат не ответил на запрос IKE. Это событие, называемое «мягким» сопоставлением безопасности (soft security association), также будет зафиксировано в журнале событий. Это также отразится в мониторе IP-безопасности: записи, имеющие в колонке Безопасность (Security) значение нет <none>. Если сервер находится в состоянии Безопасность сервера (Secure Server) и пытается подключиться к адресату, но не получает IKE-ответа от этого адресата, в журнале будет зарегистрировано событие отказа, имеющее причину Нет отклика (no response from peer).
При использовании политики Сервер (запрос безопасности) (Server (request security)) в журнале аудита на сервере Вы можете выявить и проследить адресатов, с которыми были установлены обычные соединения. Следовательно, в этом разделе Вы сможете лучше понять, как создается пользовательская политика, с помощью которой будет осуществляться защищенная передача данных с одними адресатами при разрешении незащищенной передачи данных открытым текстом с другими адресатам и инфраструктурами.
Основной режим IKE (фаза 1)
Изначально более полной формой IKE-согласования (основной режим, или фаза 1) выполняется проверка подлинности, и устанавливаются сопоставления безопасности IKE (security association, SA) между двумя машинами, которые вовлечены в генерацию материала основного ключа. Этот процесс называется сопоставлением безопасности IKE. Основной режим IKE контролируется системой на основе правил политики IPSec с использованием информации из соответствующих фильтров об адресах отправителя и получателя. Выполненное успешное сопоставление безопасности IKE может использоваться в течение 8 часов, что определяется заданными по умолчанию параметрами политик по умолчанию (Используемые параметры обмена ключами (Perform key exchange using additional settings) располагается на вкладке Общие (General)). Если обмен данными осуществляется интенсивно, то после истечения 8 часов основным режимом автоматически будет выполнено новое сопоставление. Сопоставление безопасности основного режима IKE не отображается в мониторе IP-безопасности. Однако, локальный администратор может просмотреть необходимую информацию, выполнив в командной строке команду netdiag.exe /test:ipsec /v. Средство поддержки netdiag.exe находится на установочном компакт-диске ОС Windows 2000 в папке \Support.
Быстрый режим IKE (фаза 2)
Сокращенная версия согласования IKE (быстрый режим) происходит после выполнения основного режима сопоставления безопасности IPSec для защиты конкретного трафика. При этом используются адреса отправителя и получателя (а если указано, то порты и протоколы), указанные в фильтрах политики. Согласование сопоставления безопасности IPSec касается выбора алгоритмов, генерирования ключей сеанса и определения количества индексов параметров безопасности (Security Parameter Index, SPI), используемых в пакетах. Устанавливаются два сопоставления безопасности IPSec, причем каждое имеет свой собственный SPI (в качестве метки пакета): один для исходящего трафика, а второй – для входящего. В мониторе IP-безопасности отображается только одно сопоставление безопасности исходящего трафика. После пяти минут простоя входящего сопоставления безопасности оба сопоставления безопасности (и входящее, и исходящее) будут аннулированы, в результате чего информация о сопоставлении безопасности, относящаяся к исходящему трафику, исчезнет с монитора IP-безопасности. При возобновлении передачи данных с использованием IPSec будет выполнено новое согласование IKE быстрого режима для установления двух новых сопоставлений безопасности IPSec с использованием новых ключей и индексов SPI. В соответствии со значениями, заданными по умолчанию для методов безопасности, требуется выполнение новых сопоставлений безопасности IPSec быстрого режима либо через час (3600 секунд) работы, либо после 100 Мб переданных данных. В случае интенсивной передачи данных за пять минут до истечения срока действия сопоставлений безопасности будет автоматически выполнено новое согласование. Инициатором нового быстрого согласования будет либо сторона, передавшая больший объем данных, либо сторона-инициатор предыдущего быстрого согласования безопасности.
Устранение неполадок
Устранение неполадок в конфигурации политик
Данное руководство посвящено только локальным IPSec-политикам компьютера, которые используют транспортный режим IPSec (не туннельный) при защищенной передаче данных между отправителем и получателем. Это руководство не касается использования групповых политик службы каталогов Active Directory для распространения политик IPSec. Конфигурирование политик IPSec является очень гибким и мощным средством, поэтому для выполнения корректной настройки от Вас требуется понимание протоколов IPSec и процесса согласования IKE. Существует множество конфигурационных настроек безопасности, которые Вы могли бы использовать. Выполните поиск статей в базе знаний Microsoft, касающихся IPSec, а также обратитесь к справочной системе. Дополнительные примечания, находящиеся ниже по тексту, направлены помочь Вам понять, что изначально не поддерживается в конфигурациях политик. Если у Вас не получается установить соединение с помощью IPSec, выполните описанные ниже процедуры для создания простейшей политики протестируйте соединение с ее помощью.
Используйте только один метод проверки подлинности между двумя узлами
Политики IPSec запланированы таким образом, что может быть использоваться только один из методов проверки подлинности при взаимодействии двух узлов независимо от того, сколько методов указывалось при конфигурировании. Если у Вас есть несколько правил, применяемых к одной паре компьютеров (на основе IP-адресов отправителя и получателя), то Вы должны убедиться, что в этих правилах определен одинаковый метод аутентификации для использования обоими компьютерами. Вы должны также убедиться, что используются корректные учетные данные для выбранного метода аутентификации. Например, с помощью оснастки IPSec Вы можете сконфигурировать одно правило, которое использует аутентификацию Kerberos при передаче данных между узлами посредством TCP, и создать второе правило для тех же узлов, но, определив, что при передаче данных по протоколам UDP будет использоваться аутентификация с помощью сертификатов. Такая политика будет не работоспособной, поскольку для исходящего трафика будет выбрано более жесткое правило (поскольку в нем указан протокол UDP, а не только адреса) и в результате при основном режиме согласования IKE второй компьютер будет пытаться найти соответствующее правило в своей политике (в которой указан IP-адрес источника пакета IKE). Таким образом, в этой конфигурации политики используются два различных метода проверки подлинности для одной пары IP-адресов (хостов). Чтобы избежать этой проблемы, не используйте фильтры на основе протоколов или портов при согласовании безопасности передачи данных. Вместо этого задавайте протоколы и порты в конкретных фильтрах преимущественно для разрешения или запрета конкретных типов трафика.
Односторонняя защита IPSec неразрешенного трафика
Политики IPSec не предназначены для установления односторонней защиты трафика с помощью IPSec. Если Вы создаете правило для защиты трафика между узлами А и B (на основе их IP-адресов), то Вы должны указать как трафик в направлении от узла A к узлу B, так и трафик направления от узла B к узлу A в одном и том же списке фильтров. Для этого Вы должны создать два фильтра в одном и том же списке фильтров. В качестве альтернативы Вы можете воспользоваться диалоговым окном Свойства: Фильтр (Filter Specification Properties) из оснастки IPSec и использовать опцию Отраженный (Mirrored). Этот флажок установлен по умолчанию, поскольку защита должна быть согласована для обоих направлений, даже если передача данных осуществляется преимущественно в одном направлении.
Вы можете создать односторонние фильтры для блокирования или разрешения передачи данных, но не для защиты передаваемых данных. Для защиты трафика Вы либо должны определить отраженный фильтр вручную, либо позволить системе создать его автоматически, если установлен флажок Отраженный (Mirrored).
Сертификаты компьютера должны иметь закрытый ключ
Некорректно полученные сертификаты могут стать причиной того, что сертификат существует и выбран для использования проверкой подлинности согласования IKE, но не может быть применен, поскольку на компьютере отсутствует соответствующий сертификату закрытый ключ.
Для проверки того, что сертификат имеет закрытый ключ
1. | В меню Пуск (Start) нажмите Выполнить (Run), введите mmc и нажмите OK. |
2. | В меню Консоль (Console) нажмите Добавить или удалить оснастку (Add/Remove Snap-in) и нажмите Добавить (Add). |
3. | В списке Оснастки (Snap-in) щелкните дважды по оснастке Сертификаты (Certificates), выберите учетная запись компьютера (Computer account), нажмите Далее (Next), выберите Локальный компьютер (Local computer), нажмите Готово (Finish), нажмите Закрыть (Close) и нажмите OK. |
4. | Раскройте корень оснастки Сертификаты (локальный компьютер) (Certificates-User (local computer)) и затем раскройте узел Личные (Personal). |
5. | Нажмите на папку Сертификаты (Certificates). |
6. | На правой панели щелкните дважды по сертификату, который Вам необходимо проверить. |
На вкладке Общие (General) Вы должны увидеть текст: Есть закрытый ключ соответствующий этому сертификату (You have a private key that corresponds to this certificate). Если Вы не видите этого сообщения, значит, системой не сможет использоваться этот сертификат для IPSec. В зависимости от того, как был осуществлен запрос сертификата и как он был занесен в локальное хранилище сертификатов хоста, этот закрытый ключ может либо не существовать, либо может быть недоступен для использования для согласования IKE. Если сертификат в папке Личные (Personal) не имеет соответствующего закрытого ключа, по-видимому, причина этого в неудачной регистрации сертификата. Если же сертификат был получен с публичного сервера сертификатов Microsoft с опцией усиленная защита закрытого ключа (strong private key protection), то пользователь должен вводить PIN-код каждый раз при предоставлении доступа к закрытому ключу, который используется для подписи данных в процессе IKE-согласования. Поскольку согласование IKE выполняется в фоновом режиме системной службой, то окно запроса PIN-кода не будет отображаться. Поэтому сертификат, полученный с этой опцией, будет не работоспособным при проверке подлинности IKE.
Создание и тестирование простейшей политики
Большинство проблем, в частности проблемы взаимодействия, могут быть решены созданием простейшей политики, а не использованием политик по умолчанию. Когда Вы создаете новую политику, то не разрешайте использование IPSec-туннеля и не используйте правило ответа по умолчанию. Для редактирования политики используйте вкладку Общие (General), при этом ключ обмена должен использовать только одну опцию, которую примет адресат. Например, используйте опции, определенные документом RFC 2049, такие как DES, SHA1 с группой Диффи-Хелмана 1 (низкая). Создайте список фильтров с одним отраженным фильтром, который определяется IP-адресом отправителя (мой IP-адрес) и IP-адресом получателя, с которым Вы пытаетесь установить защищенное соединение. Мы рекомендуем протестировать созданный фильтр, который содержит только IP-адреса. Создайте Ваше собственное действие фильтра для согласования безопасности, использующего только один метод безопасности. Если Вам необходимо просмотреть передачу данных в виде форматированных IPSec-пакетов с помощью анализатора пакетов, используйте средний уровень безопасности (Medium Security). Либо определите пользовательский уровень и создайте один единственный метод безопасности. Например, используйте определенный документом RFC 2049 набор параметров, таких как формат ESP, используя DES вместе c SHA1 с неограниченным сроком жизни и неуказанным режимом безопасной пересылки. Убедитесь, что оба флажка – Принимать небезопасную связь, но не отвечать с помощью IPSec (Accept unsecured communication, but always respond using IPSec) и Разрешить связь с компьютерами не поддерживающими IPSec (Allow unsecured communication with non-IPSec aware computer), используемых при определении метода безопасности, сняты. Это запретит коммуникацию с компьютерами, не поддерживающими IPSec, и запретит использование незащищенных соединений. При использовании метода аутентификации с помощью предварительных ключей, убедитесь, что не используются пробелы в строках символов, и что адресат использует точно такой же предварительный ключ.
Примечание. Второй компьютер должен иметь такую же политику IPSec, за исключением того, что адреса отправителя и получателя должны быть изменены на противоположные.
Вы должны назначить эту политику на компьютере, затем выполнить команду ping для проверки доступности второго компьютера в сети. В результате этой команды Вы должны получить ответы Согласование безопасности (Negotiating security). Это указывает на то, что фильтры политики применяются, и что IKE пытается выполнить согласование безопасности с адресатом на основе пакетов, отправленных командой ping. Если после выполнения несколько раз подряд команды ping Вы увидите Согласование используемого уровня безопасности IP (Negotiating IP Security), то, вероятно, Вы имеете работоспособную политику, иначе у Вас имеются проблемы при согласовании IKE. Обратитесь к разделу «Устранение неполадок при согласовании IKE», представленном ниже.
Устранение неполадок при согласовании IKE
Служба IKE работает в составе службы агента политики IPSec (IPSec Policy Agent). Убедитесь, что эта служба запущена. Также убедитесь, что выполняется аудит успешных и неудачных событий с помощью политики Аудит входа в систему (Audit Logon Events). В журнале безопасности будут регистрироваться события, относящиеся к службе IKE, в которых также будет предоставлены пояснения о причинах невыполненных согласований.
Сброс состояния IKE: Перезапуск службы агента политики IPSec
Для выполнения сброса состояния согласования IKE необходимо остановить и запустить службу агента политики. Из командной строки, пользователем с правами локального администратора, выполните следующие команды:
net stop policyagent net start policyagent
Повторите Ваши шаги для защиты трафика.
Внимание. Когда Вы остановите службу агента политики IPSec, все действующие IPSec фильтры будут деактивированы. Активные VPN-туннели не будут больше защищены посредством IPSec. Если у Вас также запущены службы маршрутизации и удаленного доступа (Routing or Remote Access) или у Вас имеются активные входящие подключения VPN, то Вы должны остановить службу маршрутизации и удаленного доступа, выполнив команду net stоp remoteaccess, и повторно запустить ее, выполнив команду net start remoteaccess после перезапуска службы агента политики IPSec.
Использование журнала событий безопасности для поиска ошибок IKE
Записи в журнале безопасности содержат описания причин неуспешных согласований IKE. Используйте эти записи журнала для определения того, какое из согласований не выполнено и почему. Вы должны разрешить аудит, используя процедуру, описанную в начале данного руководства.
Использование анализатора пакетов (Sniffer)
Если ничто из вышеперечисленного Вам так и не помогло, а Вы, к сожалению, так и не прочитали раздел «Понимание IKE-согласования (для опытных пользователей)», то сделаете следующее.
Для более подробного исследования пакетов, перехваченных в процессе обмена, используйте анализатор пакетов, например, Сетевой монитор (Microsoft Network Monitor). Помните, что основное содержимое пакетов зашифровано вследствие согласования IKE и не может быть интерпретировано анализатором пакетов. Хотя, может быть, придется проанализировать весь трафик, отправленный компьютером, чтобы убедиться, что Вы видите именно то, что рассчитывали увидеть. Ограниченная версия Microsoft Network Monitor входит в состав Windows 2000 Server, учтите, что этот инструмент и не установлен по умолчанию. Для его установки в Панели управления (Control Panel) откройте Установка и удаление программ (Add or Remove Programs), перейдите в раздел Добавление и удаление компонентов Windows (Add/Remove Windows Components) в диалоговом окне Мастер компонентов Windows (Windows Components Wizard), выберите Средства управления и наблюдения (Management and Monitoring Tools), нажмите Состав (Details) и выберите Средства сетевого монитора (Network Monitor Tools).
Использование трассировки отладки IKE (для квалифицированных пользователей)
Журнал событий безопасности – лучшее средство для определения причин отказа согласования IKE. Однако для специалистов в области протокола согласования IKE может быть полезна опция трассировки отладки согласования IKE, которая активируется специальным ключом реестра. Регистрация событий, относящихся к трассировке отладки, по умолчанию отключена. Для активирования регистрации событий отладки Вы должны остановить и повторно запустить службу агента политики IPSec.
Чтобы активировать регистрацию событий отладки IKE
1. | В меню Пуск (Start) нажмите Выполнить (Run) и введите в текстовое поле regedit32. Нажмите OK, при этом будет запущен Редактор реестра (Registry Editor). |
2. | Перейдите в окно HKEY_LOCAL_MACHINE на локальном компьютере (HKEY_LOCAL_MACHINE on Local Machine). |
3. | Перейдите в узел System\CurrentControlSet\Services\PolicyAgent |
4. | Щелкните дважды по узлу PolicyAgent. |
5. | Если раздел Oakley не существует, в меню Правка (Edit) нажмите Добавить раздел (Add Key). |
6. | В поле Раздел (Key Name) с учетом регистра введите: Oakley. |
7. | Поле Класс (Class) оставьте пустым и нажмите OK. |
8. | Выберите вновь созданный раздел Oakley. |
9. | В меню Правка (Edit) нажмите Добавить параметр (Add Value). |
10. | В поле Параметр (Value Name) с учетом регистра введите: EnableLogging. |
11. | Выберите Тип данных (Data Type) REG_DWORD и нажмите ОК. |
12. | Введите значение 1. |
13. | В разделе Представление (Radix) установите переключатель в положение Шестнадцатеричное (Hex) и нажмите ОК. |
14. | Закройте Редактор реестра (Registry Editor). |
15. | В командной строке Windows 2000 поочередно выполните команды net stop policyagent и net start policyagent для перезапуска служб, используемых IPSec. |
После перезапуска службы агента политики новый файл журнала по умолчанию будет записан в windir\debug\oakley.log, а в файле oakley.log.sav будет сохранена предыдущая версия журнала.
Размер журнала ограничен 50000 записями, что обычно соответствует файлу размером не более 6 Мб.
Дополнительная информация
Для получения самой последней информации об операционной системе Windows 2000 посетите веб-сайт http://www.microsoft.com/windows2000/.
Инструментарий и информация об IPSec, находящиеся на компакт-диске Windows 2000
• | Оснастка Политики безопасности IP для конфигурирования политик |
• | Монитор IP-безопасности (IPSecmon.exe) для просмотра активного состояния |
• | Свойства IPSec пользовательского интерфейса сетевых подключений |
• | Оснастка Просмотр событий |
• | Оснастка Групповые политики для просмотра локальных политик аудита безопасности |
• | Регистрация событий IKE в журнале Oakley.log |
• | Справочная система |
• | Контекстная справка |
• | Команда netdiag/test:ipsec /v /debug |
Инструментарий и информация об IPSec, входящие в состав пакета Windows 2000 Resource Kit
• | Глава IPSec |
• | ipsecpol.exe – программа для создания и удаления политик из командной строки |
• | Инструментарий групповых политик – для просмотра, какие групповые политики применены |
• | Пошаговое руководство по использованию протоколов IPSec (Internet Protocol Security) (этот документ) |
• | Доступные сценарии развертывания |
Данное руководство посвящено только локальным IPSec-политикам компьютера, которые используют транспортный режим IPSec (не туннельный) при защищенной передаче данных между отправителем и получателем. Это руководство не касается использования групповых политик службы каталогов Active Directory для распространения политик IPSec. Конфигурирование политик IPSec является очень гибким и мощным средством, поэтому для выполнения корректной настройки от Вас требуется понимание протоколов IPSec и процесса согласования IKE. Существует множество конфигурационных настроек безопасности, которые Вы могли бы использовать. Выполните поиск статей в базе знаний Microsoft, касающихся IPSec, а также обратитесь к справочной системе.
Для получения информации о заданных по умолчанию параметрах безопасности в Windows 2000 обратитесь к официальному документу на веб-сайте http://www.microsoft.com/windows2000.
Связанные ресурсы
• | Пошаговое руководство по развертыванию базовой инфраструктуры Windows 2000 Server. Часть 1. Установка Windows 2000 Server в качестве контроллера домена (Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment Part 1: Installing a Windows 2000 Server as a Domain Controller) http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx (EN) |
• | Пошаговое руководство по развертыванию базовой инфраструктуры Windows 2000 Server. Часть 2. Установка рабочих станций Windows 2000 Professional и подключение их к домену (Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment Part 2: Installing a Windows 2000 Professional Workstation and Connecting it to a Domain) http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx (EN) |
• | Справочная система Windows 2000 Server http://windows.microsoft.com/windows2000/en/server/help/ (EN) |
• | Руководство по планированию и развертыванию Windows 2000 (Windows 2000 Planning and Deployment Guide) http://www.microsoft.com/windows2000/techinfo/planning/default.asp (EN) |
• | База знаний Microsoft http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO&sd=GN&ln=EN-US |
Информация по стандартам IETF доступна по следующим ссылкам:
• | Протокол IPSec http://www.ietf.org/ids.by.wg/ipsec.html (EN) |
• | Расширения протокола PPP http://www.ietf.org/html.charters/pppext-charter.html (EN) |
• | Расширения протокола L2TP http://www.ietf.org/html.charters/pppext-charter.html (EN) |