Архитектура безопасности IP
Механизм безопасности IP в Windows 2000 создан для защиты сквозных соединений между двумя компьютерами (Рис. 26.7). В таких соединениях IP-безопасность поддерживается на обоих концах. Предполагается, что среда передачи данных между ними небезопасна. Перед отправкой данные автоматически шифруются, а при получении – расшифровываются. Это гарантирует защиту трафика TCP/IP от подслушивания. Поскольку шифрование происходит на уровне IP, дополнительная безопасность для каждого протокола в составе TCP/IP не требуется.
Рис. 26.7. Архитектура безопасности IP в Windows 2000
Безопасность IP в Windows 2000 сочетает методы шифрования с открытыми и закрытыми ключами для повышения уровня защиты и эффективности.
Управление безопасностью IP включает создание политики, определяющей уровень защиты данных:
- Политика безопасности (Security Policy)
Политика безопасности IP базируется на установлении соединений и IP-фильтрах. Она может быть частью политики контроллера домена или применяться на уровне локальной или пользовательской политики. При регистрации компьютера в домене автоматически выбираются параметры политики безопасности IP. - Политика переговоров (Negotiation Policy)
Определяет службы безопасности, используемые при соединении. Можно выбрать конфиденциальность (ESP) или отсутствие шифрования (AH), а также установить алгоритм безопасности. Если первый метод недоступен, служба ISAKMP/Oakley перебирает варианты, пока не найдёт подходящий. В случае неудачи соединение устанавливается без защиты IP. - IP-фильтры
Фильтры определяют правила обработки IP-пакетов по направлению передачи, типу протокола (TCP, UDP) и используемым портам. Они применяются как шаблоны для сопоставления с трафиком. При совпадении активируются настройки политики безопасности.
Для работы безопасности IP в Windows 2000 используются локальные службы и драйверы:
- Служба агента политики безопасности (Policy Agent Service)
Этот резидентный агент находит политику безопасности IP в Active Directory при загрузке системы. Затем он передаёт данные сетевому драйверу безопасности IP (IPSec) и службе ISAKMP/Oakley. Политика безопасности хранится централизованно, а не локально (Рис. 26.8). - Служба управления ключами ISAKMP/Oakley
Получает политику безопасности от агента политики, затем устанавливает ассоциацию безопасности (SA) с другим компьютером (Рис. 26.9). Аутентификация сторон выполняется через центр распределения ключей Kerberos, после чего служба ISAKMP передаёт SA и ключ IPSec-драйверу.
Рис. 26.8. Функционирование агента политики безопасности
Рис. 26.9. Функционирование службы ISAKMP/Oakley
- Драйвер безопасности IP (IPSec-драйвер)
Это локальный резидентный агент, который проверяет все IP-пакеты на соответствие IP-фильтру. Если пакет соответствует фильтру, он задерживается в очереди, пока служба ISAKMP/Oakley генерирует необходимые параметры безопасности (SA) и ключ. Получив данные от службы ISAKMP, агент шифрует IP-пакеты и отправляет их компьютеру-адресату (Рис. 26.10). Драйвер IPSec запускается агентом политики.
Рис. 26.10. Функционирование драйвера IPSec
Все три перечисленные компонента установлены в Windows 2000 по умолчанию и запускаются автоматически.
Примечание:
Каждый контроллер домена содержит центр распространения ключей Kerberos (Kerberos Distribution Center, KDC) для установления подлинности, который настраивается сетевым администратором. Kerberos выступает в роли третьего доверенного лица, проверяющего подлинность стороны, устанавливающей связь. Безопасность IP в Windows 2000 использует этот протокол для идентификации компьютеров.
Рассмотрим пример: пользователь Компьютера А (Пользователь 1) отправляет данные пользователю Компьютера В (Пользователь 2), при этом безопасность IP включена на обоих компьютерах.
С точки зрения пользователя процесс передачи IP-пакетов происходит прозрачно. Пользователь 1 запускает приложение, использующее стек TCP/IP, например FTP, и отправляет данные пользователю 2. Назначенные политикам безопасности компьютеров А и В параметры взаимодействия определяют уровень защиты. Агент политики передаёт параметры службе ISAKMP/Oakley и драйверу IPSec. Служба ISAKMP/Oakley применяет связанную с политикой безопасности политику переговоров для установления ключа и метода согласования (ассоциации безопасности). После успешных переговоров полученные данные передаются драйверу IPSec, который использует ключ для шифрования данных. В итоге зашифрованные данные передаются на Компьютер В, где драйвер IPSec их расшифровывает и передаёт в приложение-получатель (Рис. 26.11).
Рис. 26.11. Пример реализации безопасности IP
Примечание:
Маршрутизаторы или коммутаторы, находящиеся на пути передачи данных между компьютерами, должны пропускать зашифрованные IP-пакеты без изменений. Если в цепочке передачи присутствует брандмауэр или шлюз, поддерживающий систему безопасности, необходимо включить пересылку IP-пакетов или настроить специальную фильтрацию, разрешающую передачу защищённых пакетов. Это обеспечит корректную доставку данных.