Разработка плана безопасности
Перед реализацией безопасности IP в Windows 2000 необходимо разработать и задокументировать план безопасности, охватывающий всю корпоративную сеть. В рамках подготовки необходимо:
- Оценить тип данных, передаваемых по сети. Нужно определить, относятся ли данные к конфиденциальной информации, частной информации или сообщениям электронной почты. Если такие данные пересылаются по сети или через Интернет, они могут быть перехвачены, изучены или изменены злоумышленниками.
- Определить вероятные сценарии связи. Например, удаленные отделы сбыта могут требовать соединения с главным офисом, а внутренняя сеть — с сетями других компаний. Удаленные пользователи могут подключаться из дома, а другие взаимодействовать с файловыми серверами, содержащими конфиденциальные данные.
- Определить уровень безопасности для каждого сценария. Например, определённые отделы или пользователи могут нуждаться в более высоком уровне защиты, чем другие.
Необходимо создать и настроить политику безопасности для каждого из описанных сценариев.
Например, в компании может быть юридический отдел, которому требуется отдельная политика безопасности для любых данных, пересылаемых по IP-протоколу. Пользователи этого отдела должны иметь высокий уровень безопасности при передаче данных за его пределы, однако внутри отдела конфиденциальность может быть необязательной.
Для реализации плана безопасности юридического отдела администратор может выполнить следующие шаги:
- Создание политики безопасности. Администратор создаёт политику безопасности Legal и привязывает её к политике домена по умолчанию (Default Domain Policy). Так как все компьютеры входят в домен, агент политики каждого устройства будет использовать политику Legal из Active Directory.
- Настройка политик переговоров. Создаются две политики переговоров, привязанные к политике безопасности Legal:
- Legal NP 1 — обеспечивает конфиденциальность взаимодействия юридического отдела с другими подразделениями (использует ESP для шифрования).
- Legal NP 2 — гарантирует только установление подлинности и защиту от изменений при внутреннем взаимодействии сотрудников юридического отдела (использует AH).
- Создание IP-фильтров и их привязка к политикам переговоров.
- Пользователи юридического отдела находятся в сети 157.55.0.0 (маска 255.255.0.0).
- Пользователи других отделов работают в сети 147.20.0.0 (маска 255.255.0.0).
Legal IP Filter 1 — для взаимодействия юридического отдела с другими отделами, связан с Legal NP 1:
- Источник: 157.55.0.0 (IP-подсеть юридического отдела).
- Получатель: 147.20.0.0 (другие подразделения).
- Тип протокола: любой (Any).
Legal IP Filter 2 — для взаимодействия внутри юридического отдела, связан с Legal NP 2:
- Источник: 157.55.0.0.
- Получатель: 157.55.0.0.
- Тип протокола: любой (Any).
Когда пользователь юридического отдела передаёт данные, IP-адреса источника и получателя сверяются с IP-фильтрами политики безопасности Legal. Если адреса совпадают с одним из фильтров, соответствующая политика переговоров определяет уровень безопасности IP.
Например, если пользователь юридического отдела с IP-адресом 157.55.2.1 отправляет данные пользователю с IP-адресом 147.20.4.5, используется Legal IP Filter 1. Это означает, что взаимодействие защищено политикой Legal NP 1, обеспечивающей конфиденциальность, подлинность и защиту данных от изменений.