3. Функціонування агента політики безпеки
В· Служба керування ключами ISAKMP/Oakley
Це локальний, резидентний агент, який отримує політику безпеки від агента політики. При використанні політики безпеки служба ISAKMP встановлює асоціацію безпеки (SA) з комп'ютером-одержувачем. Тотожність підтримуючих зв'язок сторін розпізнається за допомогою центру розподілу ключів Kerberos. На закінчення служба ISAKMP посилає SA і інформацію про ключ драйверу IPSec. Служба ISAKMP/Oakley запускається агентом політики. p> В· Драйвер безпеки IP (IPSec-драйвер)
Це локальний, резидентний агент, який переглядає всі IP-пакети на відповідність фільтру IP. Якщо він знаходить відповідність, то затримує пакунки в черзі, в той час як служба ISAKMP/Oakley генерує необхідну SA і ключ, щоб захистити обмін інформацією. Агент, отримавши цю інформацію від служби ISAKMP, шифрує IP-пакети і посилає їх комп'ютеру-адресатові (рис. 4). Драйвер IPSec запускається агентом політики. br/>В
Малюнок 4. Функціонування драйвера IPSec
Всі три перераховані компонента встановлені в Windows Server 2003 за замовчуванням і запускаються автоматично.
Примітка
Кожен контролер домену містить Центр розповсюдження ключів Kerberos (Kerberos Distribution Center, KDC) для встановлення автентичності, який конфігурується мережевим адміністратором. Протокол Kerberos служить третім довіреною особою, яке перевіряє справжність підтримуючої зв'язок боку. Безпека IP в Windows Server 2003 використовує Kerberos для ідентифікації комп'ютерів. p> Розглянемо приклад, в якому користувач Комп'ютера А (Користувач 1) посилає дані користувачеві Комп'ютера В (Користувачеві 2). Безпека IP встановлена ​​на обох комп'ютерах.
В
Малюнок 5. Приклад реалізації безпеки IP
На рівні користувача процес доставки IP-пакетів прозорий. Користувач 1 просто запускає додаток, який використовує протокол стека TCP/IP, наприклад FTP, і посилає дані Користувачеві 2. Політики безпеки, призначені Комп'ютеру А і Комп'ютеру У адміністратором, визначають рівень безпеки взаємодії. Вони вибираються агентом політики і передаються службі ISAKMP/Oakley і драйверу IPSec. Служба ISAKMP/Oakley на кожному комп'ютері використовує політику переговорів, пов'язану з призначеною політикою безпеки, щоб встановити ключ і загальний метод переговорів (асоціація безпеки). Результати переговорів про політику ISAKMP між двома комп'ютерами передаються драйверу IPSec, який використовує ключ для шифрування даних. На закінчення драйвер IPSec посилає шифровані дані на Комп'ютер В. Драйвер IPSec на Комп'ютері У дешифрує дані і передає їх додатку-одержувачу (див. опис процесу на рис. 5). Примітка Будь-які маршрутизатори або комутатори, які знаходяться на шляху між підтримують зв'язок комп'ютерами, незалежно від того, чи спілкуються два користувачі або користувач і файловий сервер, повинні просто пропускати шифровані IP-пакети до адресата. Якщо між підтримують зв'язок комп'ютерами знаходиться брандмауер або інший шлюз, що підтримує систему безпеки, то на ньому повинна бути дозволена функція пересилання IP-пакетів або налаштована спеціальна фільтрація, яка дозволяє пересилку пакетів безпеки IP, щоб IP-пакети правильно досягали адресата.
В
Розробка плану безпеки
В
Перед тим як реалізувати безпека IP в Windows 2000, корисно розробити і задокументувати план безпеки, що охоплює всю корпоративну мережу. Необхідно проаналізувати наступні питання. p> В· Оцінити тип даних, посипати по мережі. Потрібно визначити, чи є ці дані конфіденційною інформацією, приватною інформацією або повідомленнями електронної пошти. Якщо вся інформація такого роду передається по мережі або через Інтернет, то вона може бути перехоплена, досліджена або змінена кимось, хто прослуховує мережу. p> В· Визначити ймовірні сценарії зв'язку. Наприклад, віддаленим відділам збуту може знадобитися зв'язок з головним офісом, а внутрішній мережі - з'єднання з мережами інших компаній. Віддаленим користувачам може знадобитися зв'язок з приватними користувачами мережі з дому, а іншим може знадобитися зв'язок з файловим сервером, що містить конфіденційну інформацію. p> В· Визначити рівень безпеки, необхідний для кожного сценарію. Наприклад, можуть бути деякі відділи або користувачі, які потребують більш високому рівні безпеки, ніж інші. p> Необхідно створити і конфігурувати політику безпеки для кожного сценарію, який був вказаний в плані.
Наприклад, в компанії може бути юридичний відділ, якому потрібно власна політика безпеки для будь-яких даних, посланих з використанням IP-протоколу. Користувачі в юридичному відділі повинні мати високий, що забезпечує конфіденційність, рівень безпеки для будь-яких даних, що посилаються за межі відділу. Проте в плані безпеки компанії може бути визначено, що користувачі в юридичному відділі не вима...
