Ръководство стъпка по стъпка за използване на IPSec (защита на интернет протокол)
IPSec (Internet Protocol Security) осигурява прозрачно, прозрачно за приложения и потребители, сигурно предаване на данни през IP мрежи с помощта на услуги за криптиране, както и защита на мрежовия достъп в Windows 2000 среда.
Основният фокус на ръководството е върху най-бързия начин за организиране на защитена комуникация между сървъра и клиента чрез IPSec. Това ръководство ви показва как да използвате правилата за IPSec по подразбиране, за да защитите данните при пренос между два компютъра от семейство Windows 2000, които са част от домейн на Windows 2000. Това ръководство ще ви отнеме 30 минути, за да се запознаете с правилата за IPSec по подразбиране, за да изпълните процедурите, описани в първата част на това ръководство, ще ви трябват два компютъра, които принадлежат към домейн. Бележките показват как да позволите на клиенти, които не са IPSec, да комуникират със сървъра. Останалата част от втората част на урока обяснява как да използвате сертификати, като използвате процедури стъпка по стъпка и как да създадете своя собствена политика за тестване на оперативна съвместимост или демонстриране на IPSec при липса на Windows 2000 домейн.
На тази страница
С помощта на протокола IPSec можете да осигурите поверителността, целостта, автентичността и защитата на данните от прихващане по време на предаване по мрежата, като използвате следните режими:
IPSec транспортният режим осигурява сигурност за комуникациите клиент-сървър, сървър-сървър и клиент-клиент.
Режимът на IPSec тунел, използващ протокола L2TP, осигурява защитен отдалечен клиентски достъп през Интернет.
IPSec осигурява следните видове защитени връзки:
връзки от шлюз до шлюз през широкообхватна мрежа (WAN);
Интернет връзки чрез L2TP/IPSec тунели;
Интернет връзки чрез IPSec тунелен режим.
IPSec тунелният режим не е предназначен за отдалечен достъп в VPN. Операционната система Windows 2000 Server опростява внедряването и управлението на мрежовата сигурност с компонента Windows 2000 IP Security, който е работеща реализация на IPSec. IPSec, разработен от IETF като архитектура за сигурност за IP протокола, дефинира формат на IP пакет и свързаната инфраструктура, за да осигури силно удостоверяване, цялост и (по избор) поверителност за комуникации в мрежи. Услугата за договаряне на сигурността и автоматично управление на ключове също се предоставя чрез възможностите на Internet Key Exchange (IKE), дефинирани от IETF в RFC 2409. Протоколът IPSec и свързаните с него услуги, които са част от семейството операционни системи Windows 2000, са разработени съвместно от Microsoft Corporation и Cisco Systems Inc.
IP сигурността в Windows 2000 се осигурява от предложената от IETF IPSec архитектура, с възможност за интегриране в домейни на Windows с услугата Active Directory директория. Услугата за директория на Active Directory позволява управление на мрежата, базирано на политики, което ви позволява да използвате групови правила за присвояване и разпространяване на IPSec политика към членове на Windows 2000 домейн.
Реализацията на IKE предоставя три метода за удостоверяване, дефинирани от стандартите на IETF за установяване на доверителни взаимоотношения между компютри:
Удостоверяването Kerberos v5.0, предоставено от базираната на Windows 2000 домейн инфраструктура, се използва за внедряване на защитенивзаимодействия между компютри от един и същ домейн, както и от различни домейни, между които се установява доверителна връзка.
Подписи на публични/частни ключове, използващи сертификати, съвместими със системи за сертификати от различни доставчици като Microsoft, Entrust, VeriSign и Netscape.
Паролите, наречени предварително споделени ключове за удостоверяване, се използват само за установяване на доверителни взаимоотношения, но не и за защита на пакети с данни на приложения.
След като компютрите са се удостоверили един друг, те генерират набор от ключове за шифроване на пакети с данни на приложението. Тези ключове, известни само на двата компютъра, защитават данните от модификация, както и от анализ на данните от нападатели, вероятно в мрежата. Всеки от тези компютри използва IKE, за да договори типа и размера на използвания ключ, както и други настройки за сигурност, използвани за защита на потоците от данни на приложението. За да се осигури постоянна защита, тези ключове се актуализират автоматично в съответствие с контролираните от администратора настройки на правилата за IPSec.
Случаи на използване на IPSec
IPSec в Windows 2000 е проектиран да бъде прозрачен за потребителите и приложенията, когато се прилага от мрежови администратори. Във всеки случай, най-лесният начин за прилагане на сигурността на доверието на домейна е да се използва Kerberos удостоверяване. Сертификати или предварително споделени ключове могат да се използват, когато няма доверителна връзка на домейн или когато се използват инструменти за работа в мрежа на трета страна. Можете да използвате IPSec Group Policy за разпространениеКонфигурации на IPSec протокол в множество клиенти и сървъри.
След този час клиентът ще отмени асоциацията за сигурност и ще се върне към първоначалното си състояние само за отговор. Ако по-късно клиентът отново изпрати пакети с чист текст към същия сървър, сървърът ще установи отново защитена IPSec връзка. Този най-прост метод осигурява сигурност, ако първоначалните пакети, изпратени от приложението до сървъра, не съдържат чувствителни данни и ако политиката на сървъра е да приема несигурни пакети, изпратени от клиенти в чист текст.
Предупреждение.Тази конфигурация е подходяща само за сървъри, разположени във вътрешната мрежа, тъй като сървърът, конфигуриран с правилата IPSec, има право да приема несигурни пакети, изпратени в чист текст. Ако сървърът е свързан към интернет, тогава тази конфигурация не трябва да се използва, тъй като в този случай той няма да бъде защитен от възможни атаки срещу услугата, отговорна за възможността за получаване на незащитени пакети (DoS атаки).
Ако сървърът е директно достъпен от интернет или ако всички пакети, изпратени от клиента, съдържат чувствителни данни, тогава трябва да се приложи IPSec политика към клиента, за да се използва IPSec при опит за изпращане на данни към сървъра. Това ръководство няма да обхваща такава конфигурация, но можете да създадете такава, като следвате процедурите в раздела Конфигуриране на действия на IPSec филтър.
Конкретни правила могат да бъдат конфигурирани на клиенти и сървъри, за да разрешават, блокират или защитават само конкретни пакети (дефинирани от протокол или порт). Този метод е най-трудният по отношение на конфигурацията и откриването на грешки, тъй като изисква дълбокипознаване на видовете мрежов трафик, използван от приложенията, и административна координация, за да се гарантира, че подходящи политики се прилагат на всички клиенти и сървъри.
Предпоставки
Това ръководство е организирано като лабораторно ръководство, за да помогне на мрежовите и системните администратори да придобият знания и разбиране за това как IPSec работи в среда на Windows 2000. Можете да конфигурирате IPSec политика локално на всеки компютър и след това да приложите и тествате политиката в мрежа, за да сте сигурни, че мрежовите комуникации са сигурни. За да изпълните процедурите в това ръководство, ще ви трябва следното:
Два компютъра, работещи с Windows 2000. Ще използвате два компютъра, които принадлежат към домейн и работят с Windows 2000 Professional, единият от тях ще действа като клиент, а другият като сървър от гледна точка на IPSec, като компютрите могат да бъдат част от един и същи домейн или в различни домейни, между които е установено доверие между домейни.
Домейн контролер, работещ под Windows 2000 Server.