Использование IPSec в Windows 200x
advertisement
Использование IPSec в Windows 200x Максим Костышин После внедрения программных продуктов, предполагающих элементы сетевого взаимодействия, часто приходится сталкиваться с тем, что разработчики не уделили должного внимания вопросам обеспечения конфиденциальной передачи данных по физическим линиям, которые образуют канал связи между взаимодействующими компьютерами. Общим решением такого рода проблем может являть создание VPN-соединений на основе имеющихся международных стандартов. Указанная возможность реализована в операционной системе Windows200x/XP. Информация, изложенная в данной статье, предназначена для тех, кого интересуют вопросы реализации защиты информации с использованием VPN-каналов на основе IPSec-протокола. Протокол IPSec и его составляющие закреплены в группе рекомендаций RFC (Request for Comments) 2401 – 2412, опубликованных в ноябре 1998 года. Описание конкретных решений позволит от рассмотрения теоретических аспектов виртуальных приватных сетей перейти к практическим моментам их использования. Пользователи операционной системы Windows 200x/XP, следуя подробным инструкциям, приведенным в статье, смогут реализовать защищенную связь между компьютерами. Справедливости ради следует отметить, что подобные решения имеются и могут быть использованы на других платформах, между различными операционными системами. Для компьютеров, на которых невозможно установить ОС Windows200x/XP, можно применять средство PGPnet Virtual Private Networking. В качестве примера взаимодействия реализации стандарта IPSec на различных операционных системах может быть предложен вариант использования IPSec-протокола между Windows 2000 и операционной системой семейства UNIX FreeBSD (см. статью Станислава Лапшанского «IPSec-соединение между FreeBSD и Windows 2000» – http://www.opennet.ru/base/net/bsd_win_vpn.txt.html). В недавно представленной Microsoft для широкой публики Windows 2003, подходы по организации защищенного соединения на основе IPSec не претерпели (по крайней мере, видимых) существенных изменений и абсолютно совместимы с Windows 2000. В изложенном материале для большей наглядности приводятся иллюстрации для русской версии Windows 2000 Professional, однако названия пунктов меню, окон и др. элементов интерфейса приводятся как для русского, так и для англоязычного интерфейса. До начала рассмотрения практических вопросов отметим, что для операционной системы Microsoft Windows 2000 рекомендуется обеспечение поддержки 128-битного шифрования данных. Для этого должны быть установлены либо Service Pack 2 для Windows 2000, либо High Encryption Pack. Service Pack 2 можно загрузить с сервера Microsoft: http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp. High Encryption Pack можно загрузить с сервера Microsoft: http://www.microsoft.com/windows2000/downloads/recommended/encryption. Обращаем внимание на то, что для возможности внесения изменений в настройки Windows, описанные ниже, пользователь должен иметь права администратора. Подход, предлагаемый Microsoft для использования межкомпьютерных соединений по протоколу IPSec в домене После стандартной инсталляции Windows 200x/XP в операционной системе предлагаются три варианта настройки для организации защищенного IP-канала – политики безопасности IPSec (см. рис. 1) в рамках одного домена: Сервер (Server) – для всего трафика IP всегда запрашивает безопасность с помощью доверия Kerberos. Разрешает небезопасную связь с клиентами, которые не отвечают на запрос; Безопасность сервера (Secure Server) – для всего IP-трафика всегда запрашивает безопасность с помощью доверия Kerberos. Не разрешает небезопасную связь с недоверенными клиентами; Клиент (Client) – обычная связь (небезопасная). Использует правило ответа по умолчанию для согласования с серверами, запрашивающими безопасность. Только запрошенный протокол и трафик с этим сервером будут безопасными. Рисунок 1. Оснастка «Управление политикой безопасности IP», используемая для настройки в Windows IPбезопасности (IPSec) После установки операционной системы ни одна из политик не назначена. Пользователь может активизировать (назначить) одну и только одну из существующих политик. Ниже, в качестве справочной информации, приводятся настройки, которые используются Microsoft в операционной системе Windows 200x/XP для трех стандартных вариантов политики безопасности IPSec. Подробные пояснения можно найти далее в описаниях настроек при создании новой политики безопасности. При изучении вопросов, связанных с установлением защищенного соединения IPSес, обратим внимание, что индивидуальные рекомендации необходимы для случая, если компьютер, который необходимо задействовать в схеме защищенного соединения, имеет несколько IP-адресов. Кроме того, для случая работы в домене локальная политика безопасности компьютера может перекрываться политикой безопасности, определяемой контроллером домена. Таблица 1. Настройки стандартных политик безопасности IP в ОС Windows 200x/XP Политика Клиент безопасност (только и ответ) Безопасность сервера (требовать безопасность) Сервер (запрос безопасности) IP Правило Динамичес Динамичес безопасност кий кий и IP Методы проверки Kerberos Kerberos V5 V5 подлинност и Все Все Тип сетевые сетевые подключен подключе подключе ия ния ния Параметры туннеля – – Весь ICMPтрафик Весь IP- Динамичес трафик кий Весь ICMPтрафик Весь IPтрафик Kerberos V5 Kerberos V5 Kerberos V5 Kerberos V5 Все сетевые подключе ния Это правило не указывает туннель Kerberos V5 Все Все Все сетевые сетевые сетевые подключе подключе подключе ния ния ния Это Это правило правило не – не указывает указывает туннель туннель Все сетевые подключения Это правило не указывает туннель Разрешать Согласовы связь с вать компьютеро использов м, не Использов Использов Использов Разрешить ание Разрешить поддержива ание ание ание (Блокиров протокола (Блокиров ющим протокола протокола протокола ание ESP ание IPSec Согласо ESP ESP ESP Методы согласова (3DES или согласова вание (3DES или безопасност (3DES или (3DES или ния DES) и ния использовани DES) и DES) и и (Действия DES) и безопасно (SHA1 безопасно е протокола (SHA1 или фильтра/Ме (SHA1 или (SHA1 или сти IP - или MD5), сти IP ESP (3DES MD5) MD5) MD5) тоды поток Принимат поток или DES) и Использов безопасност Использов Использов данных ь данных (SHA1 или ание ание ание и) защищать небезопас защищать MD5), протокола протокола протокола не ную связь, не принимать AH (SHA1 AH (SHA1 AH (SHA1 требуется) но требуется) небезопасную или MD5) или MD5) или MD5) отвечать с связь, но помощью отвечать с IPSec помощью IPSec Любой ICMP ICMP Любой протокол (Мой IP <(Мой IP <- протокол Список – – (Мой IP <– > Любой > Любой (Мой IP <-> фильтров > Любой IP) IP) Любой IP) IP) Назначение и отключение IPSec-соединения с использованием стандартных настроек Windows Для организации аутентифицированного и закрытого обмена данными между двумя компьютерами по протоколу IPSec необходимо активизировать на одной стороне политику «Безопасность сервера (Secure Server)», на другой – «Клиент (Client)» в разделе «Политики безопасности IP на Локальный компьютер (IP Security Policies on Local Machine)». Это можно сделать, выбрав пункт локального меню (вызываемого по правой кнопке «мыши») «Назначить (Assign)», предварительно выбрав строку с нужной политикой. Приложение «Локальные параметры безопасности (Local Security Settings)» можно активизировать, выбрав одноименный подпункт меню «Пуск –> Настройка –> Панель управления –> Администрирование (Start –> Setting –> Control Panel –> Administrative Tools)». Обратите внимание на то, что стандартные политики предназначены для использования в рамках одного домена. В противном случае защищенное соединение не будет установлено. Отметим, что связывающиеся стороны должны быть уверены, что настройки используемых политик остались неизменными с момента установки операционной системы. Вместе с тем теоретически существует ненулевая вероятность, что после выполнения согласования поддерживаемых криптографических алгоритмов и ключевых данных, соединение будет организовано только с использованием протокола аутентификации (Authentication Header – АН), которое предполагает активизацию механизмов только авторства и целостности передаваемых пакетов, в то время как само содержимое пакетов будет передаваться по сети в открытом виде. Это создает предпосылки к тому, что все данные, которыми обмениваются компьютеры, организовавшие «защищенный» канал, будут перехвачены. Чтобы удалить назначение политики IPSec, щелкните на активной политике правой кнопкой «мыши» и выберите команду «Снять (Un-assign)». Кроме того, можно отключить на компьютере службу «Агент политики IPSEC (IPSEC Policy Agent)». Это позволит обеспечить гарантированное отключение использования политики безопасности IPSec, которая может управляться на уровне контроллера домена. Тестирование установления IPSec-соединения Для проверки правильности настроек политики безопасности, активизируйте установку защищенного соединения, выполнив следующие шаги на одном из тестируемых компьютеров: Вызовите командную строку, выполнив запуск программы cmd.exe, выбрав меню «Пуск – > Выполнить… (Start –> Run...)» или выбрав подпункт «Командная строка (Command Promt)» меню «Пуск –> Программы –> Стандартные (Start –> Program –> Accessories)». Запустите команду ping с IP-адресом другого тестируемого компьютера. Установка защищенного соединения требует времени, поэтому при первой попытке отзыв от сервера не будет получен. Повторите команду ping. На рис. 2 показан протокол работы двух последовательных вызовов команды ping. Рисунок 2. Выполнение команды ping при согласовании политики безопасности Мониторинг IPSec-соединения В состав Windows 2003 стандартное средство IPSecMon не входит, потому все изложенное ниже в данном пункте может быть применено только для Windows 2000/XP. Для опытных пользователей для варианта Windows 200x Server для использования может быть предложена стандартная Windows-компонента «Средства сетевого монитора», позволяющая просмотреть все нюансы установки защищенного соединения на уровне данных IP-пакетов, а также 100% удостовериться, что в закрытости содержимого IP-пакета после установки защищенного соединения. В данной статье описание работы с сетевым монитором в разрезе применения IPSec-протокола не приводится. Для выполнения контроля защищенного обмена можно использовать утилиту Монитор IPбезопасности (IP Security Monitor), активизируемую при вызове приложения IPSecMon.exe. Эта утилита показывает наличие и, самое главное, параметры установленных с использованием протокола IPSec защищенных IP-каналов (см. рис.3). С помощью кнопки «Параметры... (Options...)» уменьшите время обновления с 15 до 1 секунды, чтобы получать в каждый момент актуальную информацию о состоянии IPSec-соединения. Рисунок 3. Вид главного окна программы «Монитор IP-безопасности» Включение аудита при выполнении политики безопасности IP Настойчиво рекомендуем включить протоколирование регистрации пользователей (включения аудита входа в систему для локального компьютера). Для этого необходимо активизировать приложение «Локальная политика безопасности (Local Security Setting)» в разделе «Администрирование (Aministrative Tools)» и выберите в дереве ветку «Локальные политики (Local Policies) –> Политика аудита (Audit Policy)». Выделите пункт «События регистрации аудита (Audit Logon Events)». В открывшемся окне (см. рис.4) выберите в разделе «Настройка локальной политики (Local Policy Setting)» пункты «Успех (Success)» и «Неудача (Failure)». Рисунок 4. Включение аудита для событий регистрации пользователей в системе Настройки новой политики безопасности IP Для настройки новой политики ниже будет подробно описана последовательность действий, определяемая следующими шагами: Создание новой политики безопасности IP; Определение нового правила: Списка IP-фильтров (назначение используемых сетевых протоколов и адресов взаимодействующих хостов); Действия фильтра (выбор используемых криптографических алгоритмов); Методов проверки подлинности (назначение способа установления доверительных отношений между компьютерами); Типа подключения (удаленный доступ, локальная сеть); Параметров туннеля (использовать или нет туннельный вариант протокола IPSec). В предлагаемом варианте не используется метод проверки подлинности Kerberos, установление защищенного обмена осуществляется на основе прописываемой в установках обоих компьютеров одной и той же «секретной» строки. В связи с этим указанная схема защищенного соединения будет работоспособна при работе как в доменной системе, так и в сети без домена. Активизируйте приложение «Локальные параметры безопасности (Local Security Setting)», выбрав подпункт «Локальная политика безопасности (Local Security Policy)» меню «Пуск –> Настройка –> Панель управления –> Администрирование (Start –> Setting –> Control Panel –> Administrative Tools)». Рисунок 5. Общий вид приложения, определяющего локальные параметры безопасности Создание новой политики В левой части окна «Локальные параметры безопасности (Local Security Setting)» выберите пункт «Политики безопасности IP на Локальный компьютер (IP Security Policies in Local Machine)» и создайте новую политику либо «кликнув» на значке меню , либо выбрав пункт контекстного меню (вызываемого при нажатии правой кнопки «мыши» в правой части окна) «Создать политику безопасности IP (Create IP Security Policy)». При этом открывается окно «Мастер политики IPбезопасности (IP Security Policy Wizard)». Щелкните «Далее (Next)» для перехода к следующему окну диалога (см. рис.6). Рисунок 6. Начальное окно мастера политики IP-безопасности Введите любое имя новой политики (см. рис.7) и, если это необходимо, ее описание. Щелкните «Далее (Next)» для перехода к следующему окну диалога. Рисунок 7. Определение названия политики безопасности Отмените установку флажка «Использовать правило по умолчанию (Activate the default response rule)» (см. рис.8), в результате чего для данной политики можно будет определить пользовательское правило. Щелкните «Далее (Next)» для перехода к следующему окну диалога. Рисунок 8. Окно определения активизации политики после задания параметров Удостоверьтесь, что флажок «Изменить свойства (Edit properties)» установлен, и щелкните «Готово (Finish)» (см. рис.9). Рисунок 9. Окно завершения назначения новой политики IP-безопасности При этом создание новой политики заканчивается и открывается окно «Свойства (Rules)» (см. рис.10). Рисунок 10. Окно правил для вновь созданной политики Редактирование свойств политики безопасности IP Отмените установку флажка «Использовать мастер (Use Add Wisard)» (см. рис.10) и щелкните «Добавить (Add)». При этом открывается окно «Свойства: Новое правило (New Rule Properties)» (см. рис.11). Рисунок 11. Окно создания нового правила Создание нового правила Создание нового фильтра На закладке «Список фильтров IP (IP Filter List)» щелкните «Добавить (Add)», при этом открывается окно «Список фильтров IP (IP Filter List)». Введите любое имя фильтра и, если это необходимо, его описание (см. рис.12). Отмените флажок «Использовать мастер (Use Add Wizard)» и щелкните «Добавить (Add». При этом открывается окно «Свойства: Фильтр (Filter Properies)». Рисунок 12. Определение названия фильтра IP Выберите закладку «Адресация (Addressing)» (см. рис.13) и установите следующие параметры: Адрес источника пакетов (Source address) – Определенный IP-адрес (A specific IP Address)»; IP-адрес – IP-адрес вашего компьютера; Адрес назначения пакетов (Destination address) – Определенный IP-адрес (A specific IP Address); IP-адрес – адрес компьютера, с которым устанавливается защищенное соединение; Проверить установку флажка «Отраженный (Mirrored)». Рисунок 13. Назначение адресов и источника IP-пакетов для фильтра Выберите закладку «Протокол (Protocol)» и установите «Тип протокола (Select a protocol type)» – «Любой (Any)» (см. рис.14). Рисунок 14. Выбор типа протокола, который должен обрабатываться фильтром Заполнение поля «Описание (Description)» в закладке «Описание (Description)» не обязательно. Закончите описание свойств фильтра, щелкнув «OK» в окне «Свойства: Фильтр (Filter Properties)». Щелкните «Закрыть (OK)» в окне«Список фильтров IP (IP Filter List)». На закладке «Список фильтров IP (IP Filter List)» в окне «Свойства: Новое правило (New Rule Properties)» поставьте точку в строке, отображающей только что созданный новый фильтр. Создание нового действия Выберите закладку «Действие фильтра (Filter Action)» в окне «Свойства: Новое правило (New Rule Properties)». Рисунок 15. Закладка управления методами безопасности Отмените установку флажка «Использовать мастер (Use Add Wizard)» и щелкните «Добавить (Add)». При этом открывается окно «Свойства: Создание действия фильтра (New Filter Action Properties)». Рисунок 16. Определение методов безопасности, используемых для фильтра На закладке «Методы безопасности (Security Methods)» (см. рис.16) выберите пункт «Согласовать безопасность (Negotiate security)» и щелкните «Добавить (Add)», при этом открывается окно «Создать метод безопасности (New Security Method)» (см. рис.17). Рисунок 17. Создание метода безопасности Выберите пункт «Настраиваемая безопасность (Custom)» и щелкните «Параметры... (Settings...)». При этом открывается окно «Параметры особого метода безопасности (Custom Security Settings)», в котором необходимо установить значения, как показано на риc. 18. Рисунок 18. Определение криптографических настроек IPSec-протокола Щелкните «OK» в этом окне и окне «Создать метод безопасности (New Security Method)». В окне «Свойства: Создание действия фильтра» (см. рис.16) убедитесь в том, что флажок установлен только на пункте «Принимать небезопасную связь, но отвечать с помощью IPSec (Accept unsecured communication, but always respond using IPSec)». На закладке «Общие (General)» заполните имя и, если это необходимо, описание. Щелкните «OK». На закладке «Действие фильтра (Filter Action)» в окне «Свойства: Новое правило (New Rule Properties)» (см. рис.15) поставьте точку в строке, отображающей только что созданное новое действие фильтра. Установка параметров туннеля и типа подключения Выберите закладку «Параметры туннеля (Tunnel Setting)» в окне «Свойства: Новое правило (New Rule Properties)» и cохраните заданную по умолчанию настройку «Правило не определяет туннель (This rule does not specify a tunnel)» (см. рис.19). Рисунок 19. Выбор использования туннелирования при соединении Выберите закладку «Тип подключения (Connection Type)» в окне «Свойства: Новое правило (New Rule Properties)» (рис. 20). Вы можете выбрать пункт «Все сетевые подключения (All network connections)», но лучше, если вы уверены, выберите конкретный тип: либо «Локальное сетевое подключение (Local area network (LAN))», либо «Удаленный доступ (Remote access)». Рисунок 20. Определение типа подключения для правила Установка метода проверки подлинности Выберите закладку «Методы проверки подлинности (Authen-tication Methods)» в окне «Свойства: Новое правило (New Rule Properties)» (см. рис. 21). По умолчанию Kerberos устанавливается в качестве метода проверки подлинности. Рисунок 21. Определение методов проверки подлинности Щелкните «Добавить (Add)», при этом откроется окно «Свойства: Изменить способ проверки подлинности (New Authentication Method Properties)» (см. рис. 22). Рисунок 22. Задание методов проверки подлинности для фильтра Выберите пункт «Использовать данную строку для защиты обмена ключами (Use this string to protect the key exchange (preshared key))» и внесите в окно пароль, который будет использоваться для установления защищенной связи между компьютерами. Щелкните «OK». Удалите из списка методов все, кроме созданного вами. Щелкните в окне «Свойства: Новое правило (New Rule Properties) –> ОК». На этом создание нового правила закончено. Приведем некоторые пояснения для возможных методов установления доверительных отношений: «Стандарт Windows 2000 Kerberos V5 (Windows 2000 default (Kerberos V5))» – протокол Kerberos задан по умолчанию в Windows 2000, и если все участники находятся в одном домене, это будет лучшим вариантом, поскольку облегчает конфигурирование. «Использовать сертификат данного Центра сертификации (Use a certificate from this Certificate Authority (CA))» – безопасность, основанная на применении сертификатов. Можно использовать сертификаты для инициализации защищенного соединения. Они совместимы со многими системами сертификации. «Использовать данную строку для защиты обмена ключами (Use this string to protect the key exchange (preshared key))» – использование предварительно совместно используемых строк является наиболее нежелательным методом обеспечения безопасности, если строка будет сфальсифицирована, невозможно гарантировать конфиденциальность. Однако подобный метод можно использовать в том случае, если поддерживаются внешние операционные системы или устройства. Редактирование общих настроек политики безопасности IP Выберите закладку «Общие (General)» в окне «Свойства (New IP Security Policy Properties)» (рис. 23). Рисунок 23. Окно общих свойств политики безопасности IP Поля «Имя (Name)» и «Описание (Description)» уже заполнены на этапе создания политики безопасности. Убедитесь, что в поле «Проверять политику на наличие изменений каждые: (Check for policy change every:)» записано значение 180 мин. и щелкните кнопку «Дополнительно... (Advanced...)». При этом открывается окно «Параметры обмена ключами (Key Exchange Settings)». Установите параметры, как показано на рисунке ниже (см. рис. 24), и щелкните «Методы… (Methods...)». Рисунок 24. Окно параметров обмена ключами При этом откроется окно «Методы безопасности при обмене ключами (Key Exchange Security Methods)», в котором нужно удалить все строки (см. рис. 25), кроме одной с параметрами: Тип (Type) – IKE; Шифрование (Encryption) – 3DES; Целостность (Integrity) – SHA1; Группа Диффи-Хелмана (Diffie-Hellman ...) – Средняя (2). Рисунок 25. Окно управления методами безопасности при обмене ключами Заключение В статье описаны основополагающие моменты, связанные с настройкой IPSec-соединения между двумя компьютерами на базе операционных систем Windows 2000, 2003. Дальнейшими путями расширения реализации IPSec могут быть: n Использование возможностей работы с IPSec под управлением домена. n Развертывание инфраструктуры открытых ключей (public key infrastructure – PKI). Эти действия повлекут изменения в методах проверки подлинности и повысят уровень безопасности при установлении сеансов защищенных соединений. Отметим, что IPSec предполагает два варианта сетевого соединения: транспортный и туннельный. При транспортном – заголовок IP-пакета (в том числе и IP-адрес) не изменяются. Заголовок IPSec вставляется между заголовком IP и остальными заголовками или, соответственно, данными. При таком способе передачи изменения затрагивают только транспортный уровень пакета IP, а собственно данные пакета смогут быть аутентифицированы и/или зашифрованы. При туннельном варианте изменяется весь пакет IP. Защита распространяется на заголовок IP и данные, причем вместо исходного создается новый заголовок IP с другими IP-адресами. В данной статье описывается наиболее простой – транспортный вариант использования IPSec. Для случая, если защищенный трафик должен проходить через сервер NAT (Network Address Translation), который производит замену IP-адресации, то необходимо отказаться от использования протокола AH и задействовать только протокол ESP. Дальнейшим усилением VPN может быть использование Layer Two Tunneling Protocol (L2TP) – протокола туннелирования второго уровня. В данном случае настройки предполагаются более сложные по схеме защищенной связи: клиент<->сервер <-> сервер<->клиент При установлении сеанса L2TP происходят следующие действия: Если клиент связывается с туннельным сервером VPN, используя тип подключения, определенный как L2TP, клиент автоматически создает политику IPSec, если она еще не установлена для данного клиента. Если политика IPSec уже создана, протокол L2TP просто внедряет правило безопасности, которое защищает весь трафик. При этом используются настройки безопасности, которые определены с помощью имеющейся политики. Если для системы не установлены политики IPSec, протокол L2TP создает собственное правило безопасности IPSec. В этом случае IPSec фильтрует трафик и приводит к установке соглашения по обмену ключей. Устанавливается туннельное соглашение L2TP, вследствие чего IPSec защищает трафик туннельного контроля, а также данные, передаваемые с помощью этого туннеля. С помощью идентификатора и пароля пользователя протокол L2TP производит аутентификацию сервера VPN. При использовании смарт-карты производится аутентификация на основе сертификата. В печати недавно появилась информация о том, что в США под эгидой АНБ ведутся работы по развитию протокола IPSec High-Assurance Internet Protocol Encryption (HAIPE). HAIPE позволяет выполнять обмен ключами между системами, применяющими разные алгоритмы шифрования. Как отмечают специалисты, цель разработки HAIPE – обеспечение возможности обмена алгоритмами шифрования между различными программными и аппаратными криптосистемами. Глоссарий Криптография – область защиты информации, в которой рассматриваются вопросы создания алгоритмов шифрования, электронной цифровой подписи, хэширования, выработки имитовставки и т. п. с целью обеспечения гарантий секретности и/или достоверности сообщений. Функция хэширования – действие функции хэширования заключается в сопоставлении произвольного набора данных в виде последовательности двоичных символов и его образа фиксированной небольшой длины, что позволяет использовать эту функцию в процедурах электронной цифровой подписи для сокращения времени подписи и проверки подписи. Эффект сокращения времени достигается за счет вычисления подписи только под образцом подписываемого набора данных. Pretty Good Privacy (PGP) – дословный перевод «Довольно хорошая секретность». Пакет программ, первоначально разработанный Филлипом Циммерманом (Phillip Zimmerman), представляющий собой систему шифрования с открытым ключом. Ее последняя версия основана на запатентованной технологии RSA. Virtual Private Network (VPN) – виртуальная частная сеть представляет собой туннель поверх общедоступной сетевой инфраструктуры, такой как Интернет. VPN – защищенное сетевое соединение, при котором туннелируется зашифрованный сетевой трафик. Kerberos – протокол безопасной аутентификации промышленного стандарта, подходящий для распределённых вычислений через общедоступные сети. Описан в RFC1510 (1993 год). Протокол аутентификации реализован в Windows 2000. У Kerberos несколько преимуществ, наиболее важное из которых, вероятно, возможность перепоручать аутентификацию другим компьютерам, также поддерживающим Kerberos, даже тем, которые работают под управлением других операционных систем. Это облегчает наращивание веб-сайта с использованием разных машин веб-серверов и серверов базы данных. Предыдущие решения, такие как реализация всех служб на одной машине, выполнение всех клиентских запросов в едином контексте защиты или жесткое программирование передачи функций защиты в файлах скриптов, не способствовали усилению архитектуры защиты. IPSec – протокол безопасности, предоставляющий возможность для организации защищенного соединения (VPN). Описан RFC2401 (1998 год). Представляет собой набор связанных протоколов. IPSec образован тремя основными компонентами: Протокол обмена ключами Интернет (Internet Key Exchange, IKE); Заголовок аутентификации (Authentication Header, AH); Безопасное вложение IP-пакетов (Encapsulating Security Payload, ESP). Encapsulating Security Payload (ESP) – протокол инкапсулированной защиты IP. Вместе с протоколом AH являются криптографической основой протокола IPSec. Протокол ESP предназначен для проверки аутентичности и целостности пакетов, обеспечения конфиденциальности данных с помощью выполнения процедур шифрования. Описан в RFC2406 (1998 год). Authentication Header (АН) – протокол заголовка аутентификации IP. Вместе с протоколом ESP являются основой протокола IPSec. Предназначен для проверки аутентичности и целостности пакетов. Описан в RFC2402 (1998 год). Data Encryption Standard (DES) – алгоритм шифрования. Работает с 56-битным ключом, обрабатывает 64-битный блочный текст. Разработан IBM и Агентством национальной безопасности США. Стандарт закреплен в ANSI X3.106, «American National Standard for Information Systems-Data Link Encryption» в 1983 году. Triple Data Encryption Standard (3DES) – усложненный алгоритм на основе DES. Тройное использование DES и трехкратное усиление ключевой системы. Secure Hash Algorithm (SHA1) – функция хэширования. Алгоритм определен в 1994 году FIPS PUB 180-1. Результатом обработки является 20-байтовая (160-битовая) величина. MD5 (Message Digest 5) – функции хэширования. Алгоритм определен в 1992 году RFC1321. Результатом обработки является 16-байтовая величина. Ссылки 1. Security Architecture for the Internet Protocol. RFC2401 November 1998. http://www.rfceditor.org/cgi-bin/rfcdoc-type.pl?loc=RFC&letsgo=2401&type=ftp&file_format=txt. 2. IP Authentication Header. RFC2402 November 1998. http://www.rfc-editor.org/cgibin/rfcdoctype.pl?loc=RFC& letsgo=2402&type=ftp&file_format=txt. 3. IP Encapsulating Security Payload (ESP). RFC2406 November 1998. http://www.rfc-editor.org/cgibin/rfcdoctype.pl?loc=RFC&letsgo=2406&type=ftp&file_format=txt. 4. Проектирование виртуальных частных сетей в среде Windows 2000. Тадеуш Фортенбери, Издательский дом «Вильямс», 2002 год. 5. Новые технологии и оборудование IP-сетей. В.Олифер, Н.Олифер, BHV – Санкт – Петербург; Серия: Мастер («BHV»), 2000 год. 6. Поддержка протокола безопасности IP в Microsoft Windows 2000 Server. Информационный документ Microsoft. http://www.networkdoc.ru/files/insop/win2000/w2k_ipsecurity.doc. 7. Аутентификация по протоколу Kerberos в Windows 2000. Информационный документ Microsoft. http://www.net-workdoc.ru/files/insop/win2000/w2k_kerberos.doc. 8. IPSec, NAT, брандмауэры и VPN. Альфред Брот. http://www.osp.ru/lan/2003/01/024.htm. 9. Улучшенный вариант IPSec. http://www.osp.ru/nets/2003/04-05/000_15.htm. 10. Развертывание сети VPN. Павел Покровский. http://www.osp.ru/lan/2003/01/020.htm. 11. IpSec соединение между FreeBSD и Windows 2000. Станислав Лапшанский. http://www.opennet.ru/base/net/bsd_win_vpn.txt.html. 12. VPN-технологии защищенного обмена конфиденциальной информацией. C.Петренко. http://www.cinfo.ru/CI/CI_219_35/InfSecurity/VPN_219.htm. 13. Безопасность в Windows XP. Камилл Ахметов. http://bytemag.ru/Article.asp?ID=604. 14. Глобальный доступ в частные сети. Ярослав Городецкий, Алексей Клочков. http://www.setevoi.ru/cgi-bin/textprint1.pl/magazines/2000/11/42. 15. Отказоустойчивость, анализ и настройка безопасности и IPSec. Dan DiNicolo. http://www.networkdoc.ru/trainers2000/print.html?win2000/article12.html.
