Введение
Протокол IPSec (Internet Protocol Security) обеспечивает прозрачную для приложений и пользователей защищенную передачу данных в IP-сетях с использованием служб шифрования, а также защиту сетевого доступа в окружении Windows 2000.
Основное внимание в руководстве уделено скорейшему способу организации защищенной передачи данных между сервером и клиентом посредством IPSec. В этом руководстве показано, как с использованием политик IPSec по умолчанию обеспечить защиту передаваемых между двумя компьютерами данных, работающими под управлением ОС семейства Windows 2000 и находящихся в составе домена Windows 2000. С данным руководством в течение 30 минут Вы сможете ознакомиться с IPSec-политиками по умолчанию, для того чтобы выполнить процедуры, описанные в первой части данного руководства, Вам потребуется два компьютера принадлежащих домену. В примечаниях указано, как обеспечить взаимодействие с сервером клиентов, не поддерживающих IPSec. Далее во второй части руководства на примере пошаговых процедур объясняется, как использовать сертификаты, а также то, как построить свою собственную политику для проверки возможности взаимодействия или демонстрации IPSec в отсутствии домена Windows 2000.
Используя протокол IPSec, Вы можете обеспечить конфиденциальность, целостность, подлинность и защиту данных от перехвата при передаче в сети с использованием следующих режимов:
- Транспортный режим IPSec обеспечивает защиту соединений клиент-сервер, сервер-сервер и клиент-клиент.
- Туннельный режим IPSec с использованием протокола L2TP обеспечивают безопасный удаленный доступ клиенту через Интернет.
IPSec обеспечивает следующие типы защищенных соединений:
- подключения типа шлюз-шлюз через глобальную сеть (WAN);
- подключения через Интернет с использованием туннелей L2TP/IPSec;
- подключения через Интернет с использованием туннельного режима IPSec.
Туннельный режим IPSec не предназначен для организации удаленного доступа в виртуальных частных сетях VPN. Операционная система Windows 2000 Server упрощает развертывание и управление сетевой безопасностью с помощью компонента Windows 2000 IP Security, который является рабочей реализацией IPSec. Для протокола IPSec, разработанного группой IETF в качестве архитектуры безопасности для IP-протокола, определен формат IP-пакетов и соответствующая инфраструктура для обеспечения надежной аутентификации, целостности и (опционально) конфиденциальности при передаче данных по сетям. Согласование безопасности и служба управления автоматическими ключами также обеспечивается благодаря возможностям обмена ключей в Интернете (Internet Key Exchange, IKE), определенного IETF в документе RFC 2409. Протокол IPSec и связанные службы, входящие в состав семейства ОС Windows 2000, разработаны совместно корпорациями Microsoft и Cisco Systems Inc.
Безопасность IP в Windows 2000 обеспечивается архитектурой IPSec, предложенной IETF, с возможностью интеграции в доменах Windows со службой каталогов Active Directory. Служба каталогов Active Directory позволяет организовать управление сетью на основе политик, что дает возможность использовать групповую политику для назначения и распространения IPSec-политики на членов домена Windows 2000.
Реализация IKE обеспечивает три метода аутентификации, определенных стандартами IETF с целью установления доверительных отношений между компьютерами:
- Аутентификация Kerberos v5.0, предоставляемая инфраструктурой домена на основе Windows 2000, используется для осуществления безопасного взаимодействиями между компьютерами из одного домена, а так же из различных доменов, между которыми установлены доверительные отношения.
- Подписи открытого/закрытого ключа, использующие сертификаты, совместимые с системами сертификатов различных производителей, таких как Microsoft, Entrust, VeriSign и Netscape.
- Пароли, называемые предварительными ключами аутентификации (pre-shared authentication keys), используются строго для установления доверительных отношений, но не для защиты пакетов данных приложений.
Как только компьютеры аутентифицировали друг друга, ими генерируется множество ключей для шифрования пакетов данных приложений. Эти ключи, известные только двумя компьютерами, обеспечивают защиту данных от модификации, а также от анализа данных злоумышленниками, возможно, находящимися в сети. Каждый из этих компьютеров использует IKE для согласования типа и размера используемого ключа, а также других параметров безопасности, используемой для защиты потоков данных приложений. Для обеспечения постоянной защиты эти ключи автоматически обновляются в соответствии с настройками политики IPSec, контролируемой администратором.