Архитектура безопасности IP

Механизм безопасности IP в Windows 2000 создан для защиты сквозных соединений между двумя компьютерами (Рис. 26.7). В таких соединениях IP-безопасность поддерживается на обоих концах. Предполагается, что среда передачи данных между ними небезопасна. Перед отправкой данные автоматически шифруются, а при получении – расшифровываются. Это гарантирует защиту трафика TCP/IP от подслушивания. Поскольку шифрование происходит на уровне IP, дополнительная безопасность для каждого протокола в составе TCP/IP не требуется.

Архитектура безопасности IP в Windows 2000

Рис. 26.7. Архитектура безопасности IP в Windows 2000

Безопасность IP в Windows 2000 сочетает методы шифрования с открытыми и закрытыми ключами для повышения уровня защиты и эффективности.

Управление безопасностью IP включает создание политики, определяющей уровень защиты данных:

Для работы безопасности IP в Windows 2000 используются локальные службы и драйверы:

Функционирование агента политики безопасности

Рис. 26.8. Функционирование агента политики безопасности

Функционирование службы ISAKMP/Oakley

Рис. 26.9. Функционирование службы ISAKMP/Oakley

Функционирование драйвера IPSec

Рис. 26.10. Функционирование драйвера IPSec

Все три перечисленные компонента установлены в Windows 2000 по умолчанию и запускаются автоматически.

Примечание:

Каждый контроллер домена содержит центр распространения ключей Kerberos (Kerberos Distribution Center, KDC) для установления подлинности, который настраивается сетевым администратором. Kerberos выступает в роли третьего доверенного лица, проверяющего подлинность стороны, устанавливающей связь. Безопасность IP в Windows 2000 использует этот протокол для идентификации компьютеров.

Рассмотрим пример: пользователь Компьютера А (Пользователь 1) отправляет данные пользователю Компьютера В (Пользователь 2), при этом безопасность IP включена на обоих компьютерах.

С точки зрения пользователя процесс передачи IP-пакетов происходит прозрачно. Пользователь 1 запускает приложение, использующее стек TCP/IP, например FTP, и отправляет данные пользователю 2. Назначенные политикам безопасности компьютеров А и В параметры взаимодействия определяют уровень защиты. Агент политики передаёт параметры службе ISAKMP/Oakley и драйверу IPSec. Служба ISAKMP/Oakley применяет связанную с политикой безопасности политику переговоров для установления ключа и метода согласования (ассоциации безопасности). После успешных переговоров полученные данные передаются драйверу IPSec, который использует ключ для шифрования данных. В итоге зашифрованные данные передаются на Компьютер В, где драйвер IPSec их расшифровывает и передаёт в приложение-получатель (Рис. 26.11).

Пример реализации безопасности IP

Рис. 26.11. Пример реализации безопасности IP

Примечание:

Маршрутизаторы или коммутаторы, находящиеся на пути передачи данных между компьютерами, должны пропускать зашифрованные IP-пакеты без изменений. Если в цепочке передачи присутствует брандмауэр или шлюз, поддерживающий систему безопасности, необходимо включить пересылку IP-пакетов или настроить специальную фильтрацию, разрешающую передачу защищённых пакетов. Это обеспечит корректную доставку данных.