10 простых шагов для защиты соединений Telnet
Несмотря на широкое распространение Telnet, многие ИТ-администраторы неохотно используют этот протокол, так как трафик Telnet между клиентом и сервером не зашифрован и кто угодно может изучить его, прослушивая сеть. Прежде чем взять на вооружение OpenSSH (бесплатную версию комплекса сетевых инструментов Secure Shell, SSH), перенесенную в среду Win32, или тратить тысячи долларов на коммерческую версию SSH, стоит подумать о шифровании трафика Telnet с помощью IPsec. Вместе Telnet и IPsec обеспечивают надежное и относительно просто развертываемое решение удаленного доступа для серверов Windows Server 2003. Настройка конфигурации IPsec может быть сложной, но в данной статье описывается 10 простых шагов для шифрования Telnet с использованием IPsec. Этот метод можно распространить на шифрование другого сетевого трафика в соответствии с требованиями к безопасности конкретного предприятия.
Предварительные замечания
В тестовой конфигурации, описанной в статье, используется Kerberos — стандартный метод аутентификации Windows IPsec. Следовательно, клиент и сервер должны располагаться в одном домене или в доверенных доменах. IPsec поддерживает альтернативные механизмы аутентификации (например, сертификаты), которые можно использовать, если Kerberos в данном домене не применяется. Однако для таких механизмов может потребоваться наличие инфраструктуры с общим ключом (public key infrastructure, PKI). Кроме того, их сложнее реализовать.
При первой настройке мастера IPsec могут показаться слишком сложными. Один мастер вызывает другого, а тот в свою очередь вызывает третьего. Но после того как будут созданы объекты, взаимодействие между элементами станет логичным. Для шифрования трафика Telnet с использованием IPsec необходимо построить следующие объекты:
- политика IPsec (этапы 3 и 4);
- правило безопасности IPsec (этапы 5 и 6);
- список фильтрации IP (этап 7);
- Filter Action (этап 9).
Windows 2003 располагает полным набором инструментов для диагностики отказавших соединений IPsec. Один из таких инструментов — оснастка IP Security Monitor консоли Microsoft Management Console (MMC), которая показывает фильтры, политики и настройки безопасности как для режима Main Mode, так и для Quick Mode IPsec. Кроме того, можно использовать сетевой анализатор для наблюдения за сетевым трафиком при согласовании соединения IPsec между клиентом и сервером. Анализатор не показывает содержимого шифрованного трафика, но можно увидеть клиент и сервер, устанавливающие соединение IPsec через протокол Internet Security Association and Key Management Protocol (ISAKMP, TCP-порт 500).
Более подробную информацию о настройке конфигурации IPsec можно найти в статье Microsoft TechNet IPSec Troubleshooting (http://www.microsoft.com/technet/prodtechnol/ windowsserver2003/library/serverhelp/b0b726fc-c6b7-426a-964f-9c7b1c8ef3a8.mspx).
Создание политики IPsec
Для шифрования трафика Telnet в домене нужно выполнить следующие действия.
1. На каждом сервере, которым предстоит управлять с помощью Telnet, открыть утилиту Services в разделе Administrative Tools и настроить службу Telnet на автоматический запуск, а затем запустить службу.
2. Создать новый объект Group Policy Object (GPO) и связать его с организационной единицей (OU), содержащей компьютеры (клиенты и серверы), для которых необходимы шифрованные сеансы Telnet. При желании этот GPO можно связать на доменном уровне с каждым компьютером в домене для шифрования сеансов Telnet.
3. Отредактировать новый GPO в редакторе Group Policy Editor (GPE). Затем следует перейти в раздел Computer Configuration, Windows Settings, Security Settings и щелкнуть правой кнопкой мыши на IP Security Policies on Active Directory (domain), после чего щелкнуть на Create IP Security Policy для запуска мастера IP Security Policy Wizard.
4. Выполнить следующие операции мастера:
- oприсвоить политике имя (например, IPsec Telnet Policy);
- oоставить флажок Activate the default response rule в состоянии по умолчанию;
- oоставить Default Response Rule Authentication Method в состоянии Active Directory default (Kerberos V5 protocol);
- oна последнем этапе работы мастера следует установить флажок Edit properties, чтобы настроить политику, а затем щелкнуть Finish.
Создание правила безопасности и списка фильтрации IP
5. На данном этапе вводится новое правило IP Security для шифрования трафика Telnet. Чтобы создать правило, следует щелкнуть на вкладке Rules в диалоговом окне свойств вновь созданной политики. Затем требуется щелкнуть на кнопке Add и запустить мастер Security Rule Wizard.
6. В мастере Security Rule Wizard необходимо выполнить следующие операции:
- оставить переключатель This rule does not specify a tunnel в состоянии по умолчанию;
- оставить переключатель All Network Connections в состоянии по умолчанию;
- в ответ на запрос списка IP-фильтрации следует щелкнуть на кнопке Add, чтобы построить новый список.
7. Список IP-фильтрации определяет протокол и адреса, используемые правилом IPsec. В диалоговом окне New IP Filter List следует дать имя новому списку (например, Telnet) и щелкнуть на кнопке Add для запуска мастера IP Filter Wizard. В дальнейшем при работе с мастером необходимо ввести и выбрать следующую информацию:
- ввести описание - например, Telnet (TCP port 23) - и убедиться, что флажок Mirrored установлен. Пакеты следует сопоставлять с соответствующими друг другу адресами источника и назначения;
- в раскрывающемся окне Source address выбрать адрес источника Any IP address;
- в раскрывающемся окне Destination address выбрать адрес назначения My IP address;
- указать тип протокола - TCP;
- установить переключатель на From any port;
- установить переключатель на To this port: и ввести 23 в текстовом поле (чтобы указать порт Telnet, TCP-порт 23).
8. Щелчком на кнопке OK закрыть диалоговое окно IP Filter List, которое возвращает пользователя к этапу 6 мастера Security Rule Wizard. Затем нужно последовательно щелкнуть переключатель рядом со вновь созданным IP-фильтром (например, Telnet) и кнопку Next.
Создание Filter Action
9. Теперь требуется назначить действие фильтра. Для этого необходимо щелкнуть на кнопке Add и запустить Filter Action Wizard, а затем выполнить следующие шаги:
- ввести имя (например, Encrypt data);
- установить переключатель на Negotiate security;
- установить переключатель на Do not communicate with computers that do not support IPsec;
- установить переключатель на Integrity and encryption;
- установить флажок Edit properties и щелкнуть Finish, чтобы вывести свойства Filter Action;
- установить флажок Accept unsecured communication, but always respond using IPsec и нажать OK для выхода из диалогового окна свойств Filter Action.
Прием незащищенных соединений необходим, так как при инициализации сеанса Telnet клиентским компьютером сначала предпринимается попытка задействовать TCP-порт 23. Защищенному IPsec серверу необходимо распознать и принять незащищенный запрос, и в ответ на него немедленно установить соединение IPsec. Без процедуры согласования мер безопасности клиент не может установить связь с сервером. Преимущество конфигурации фильтр-действие в том, что при необходимости клиенты могут устанавливать соединения с маршрутизаторами, коммутаторами и другими серверами Telnet, в которых IPsec не применяется.
10. После выхода из диалогового окна свойств Filter Action происходит возврат к мастеру Security Rule Wizard. Следует установить переключатель на вновь созданное действие фильтра (например, Encrypt Data) и на Next. Метод аутентификации для нового правила нужно оставить без изменений — Active Directory (то есть Kerberos V5 protocol), после чего выйти из мастера.
Настройка основных компонентов политики IPsec завершена. Можно посмотреть детали политики на страницах ее свойств (см. экран) или дважды щелкнуть OK для выхода из свойств политики.
Экран. Просмотр свойств политики IPSec |
Завершающая операция — назначение IPsec Policy
Теперь все готово для назначения политики. Следует вернуться в GPE и выбрать IP Security Policies on Active Directory (domain). В правой панели нужно щелкнуть правой кнопкой мыши на новой политике IPsec Telnet и выбрать пункт Assign. Затем необходимо запустить процедуру обновления GPO, выполнив команду Gpupdate на каждом компьютере, на котором работает сервер Telnet (или подождать репликации GPO). Gpupdate следует запустить как на клиентах, так и на серверах.
При использовании Telnet в сочетании с IPsec безопасность Telnet резко возрастает. Применение Telnet через соединения IPsec может быть не самым удобным решением для предприятия из-за дополнительных требований и сложности подготовки Active Directory (AD) GPO. В прошлом недостатком Telnet был низкий уровень защищенности, но благодаря IPsec в распоряжении администраторов появился еще один метод дистанционного управления несколькими серверами Windows.
Джеф Феллинг - Директор по информационной безопасности компании aQuantive. Автор книги IT Administrator?s Top 10 Introductory Scripts for Windows (издательство Charles River Media). jeff@blackstatic.com