Однако использование списков ACL, формируемых на уровне приложения, рискованно с точки зрения безопасности. В действительности мы можем использовать IPsec с целью изоляции тех или иных главных систем либо доменов от угроз, которые исходят от не имеющих санкции на доступ (или неуправляемых) компьютеров.
В частности, прекрасным инструментом для изоляции серверов являются правила безопасности подключения на базе Ipsec; они реализуются в Windows 7, Windows Server 2008 и Windows Vista и настраиваются с помощью брандмауэра Windows Firewall с консолью Advanced Security и с использованием групповой политики. Давайте начнем с небольшой справки по общей концепции изоляции серверов, а затем углубимся в процесс настройки изоляции серверов в конкретной среде.
Что такое изоляция серверов?
Реализуя изоляцию серверов и доменов, мы проводим сетевую политику, в соответствии с которой определенные серверы — члены домена вступают во взаимодействие (после выполнения процедуры аутентификации и с соблюдением правил безопасности) только с другими компьютерами — членами домена. Такая сетевая политика изолирует определенные серверы от компьютеров, которые не являются членами домена, или от систем, которые, будучи членами домена, не соответствуют тем или иным критериям. Так, администратор может сформулировать политику, предписывающую серверу баз данных принимать соединения только от серверов, которые входят в указанную группу безопасности, или от серверов, на которых установлен определенный компьютерный сертификат.
При осуществлении изоляции описанным образом нет необходимости в перенастройке сети или в использовании каких-либо программных средств от независимых поставщиков. Все необходимое уже есть в операционной системе. Главные системы или домены, изолированные таким образом, не требуют обслуживания в случае внесения изменений в структуру сети или при миграции в другое место либо на другое сетевое устройство. И поскольку изоляция реализуется на уровне операционной системы, она не оказывает влияния на другие уровни защиты.
В системе Windows Server 2003 изоляция серверов осуществлялась с использованием настройки групповой политики Access this computer from network, но возможности этого средства были ограниченны. Можно было только предоставить пользователям или компьютерам право обращаться к указанной главной системе; возможность определять дополнительные параметры, например метод аутентификации, предусмотрена не была. Кроме того, можно было форсировать использование того или иного протокола аутентификации с помощью групповой политики (скажем, применять только протокол NTLMv2, а применение протокола Kerberos исключалось, как и возможность потребовать, чтобы другая сторона предъявила сертификат для аутентификации).
В системах Windows 7, Server 2008 и Vista реализованы новые средства для изоляции серверов с помощью брандмауэра Windows Firewall, оснащенного консолью Advanced Security. Наряду с дополнительными возможностями настройки брандмауэра эта консоль позволяет применять правила безопасности подключения. В реализации технологии изоляции серверов данные правила играют исключительно важную роль. Хотя изоляция на базе IPsec была возможна в более ранних версиях операционной системы, таких как Windows XP и Windows 2003, в системах Server 2008 и Vista впервые реализована интеграция набора стандартов IPsec и средств брандмауэра.
Запрос или требование?
Первоочередная задача состоит в том, чтобы идентифицировать систему, которую нужно изолировать, а затем следует определить уровень предстоящей изоляции. В некоторых случаях изоляция серверов будет осуществлена на всех системах домена, что, в сущности, равнозначно изоляции домена. Однако чаще осуществляется изоляция отдельных (клиентских или серверных) систем, которым требуется дополнительный уровень защиты. Поэтому давайте сосредоточим внимание на изоляции отдельной системы. Поскольку правила безопасности подключения действуют как в системе Vista, так и в системе Server 2008 и настраиваются единым образом, я не буду говорить о них в контексте той или иной операционной системы.
Обратиться к брандмауэру Windows Firewall с консолью Advanced Security можно через оснастку Administrative Tools панели управления. Открыв окно консоли (экран 1), щелкните правой кнопкой мыши на узле Connection Security Rules и в контекстном меню выберите пункт New Rule. В результате будет запущен мастер New Connection Security Rule Wizard, который предложит на выбор несколько параметров.
Выберите первый параметр, Isolation. Другие параметры дают возможность устанавливать для заданных систем правила изъятия, реализовывать аутентификацию между двумя указанными компьютерами (параметр Server-to-Server), формировать аутентификацию в режиме тунеллирования (что полезно при работе с соединениями «сайт-сайт») или формулировать собственное правило.
После того как вы выберете параметр Isolation и нажмете кнопку Next, нужно будет выбрать одно из предлагаемых требований аутентификации, как показано на экране 2. В сущности, выбирать придется между запросом и требованием. Если вы выберете параметр Request, аутентификация будет запрошена (то есть предложена) для входящего или исходящего трафика (либо для трафика в обе стороны), но она не будет выполняться принудительно.
Если другая сторона не сможет должным образом выполнить процедуру аутентификации, трафик тем не менее будет разрешен. Но когда вы выбираете параметр Require, операционная система форсирует выполнение процедуры аутентификации, и, если эта процедура заканчивается с ошибкой, соединение сбрасывается. В зависимости от необходимого уровня безопасности вы можете выбрать параметр Require для процедуры аутентификации входящих соединений и Request — для исходящих. Это приемлемо в тех случаях, когда вы хотите форсировать аутентификацию только для входящих подключений (для ситуаций, когда другие компьютеры пытаются обратиться к данной изолированной системе) или выбрать параметр Require как для входящих, так и для исходящих подключений. В этом случае достигается максимальный уровень безопасности, поскольку аутентификация осуществляется для трафика в обоих направлениях.
В случае выбора первого параметра, Request authentication for inbound and outbound connections, аутентификация не будет принудительно применяться ни в том, ни в другом направлении, так что говорить о подлинной изоляции не приходится. При выборе второго варианта, Require authentication for inbound connections and request authentication for outbound connections, обеспечивается достаточный уровень защиты изолированной системы, и при этом она имеет возможность вступать во взаимодействие со всеми другими системами (расположенными как внутри, так и вне домена). По этой причине второй вариант представляет собой оптимальное решение; выбирайте его и нажимайте кнопку Next.
Настройка параметров аутентификации
Далее следует настроить метод аутентификации, как показано на экране 3. На данном этапе вы фактически можете принудительно реализовать аутентификацию с применением протокола Kerberos для пользователя, компьютера или для того и другого, потребовать предъявления сертификата или реализовать специализированный метод аутентификации.
Но следует иметь в виду, что эти механизмы аутентификации являются обязательными на уровне IPsec (то есть на сетевом уровне). Если некоторое приложение применяет иной метод аутентификации (скажем, NTLM), аутентификация опять-таки будет осуществляться на уровне приложения. Если вы используете метод, предлагаемый по умолчанию, аутентификация будет реализована в соответствии с настройками брандмауэра Windows Firewall, установленными на вкладке IPsec Settings диалогового окна Security Properties. Чтобы получить доступ к этим настройкам, правой кнопкой мыши щелкните на элементе Windows Firewall with Advanced Security узла Local Computer и в контекстном меню выберите пункт Properties. На вкладке IPsec Settings можно выбрать элемент Customize, чтобы указать значения, которые будут применяться по умолчанию при создании новых правил безопасности подключения (экран 4).
Компьютер и пользователь. Если вы выберете второй параметр Authentication Method — Computer and User (using Kerberos V5), при любой попытке установить соединение с изолированной системой компьютер будет требовать аутентификации по протоколу Kerberos. Если как пользователь, так и компьютер являются членами домена, аутентификация будет выполнена в автоматическом режиме, без вмешательства со стороны пользователя. Этот метод аутентификации легко реализуется и обеспечивает высокий уровень безопасности, поэтому я рекомендую в большинстве случаев применять его.
Компьютер. Если вы выберете параметр Computer (using Kerberos V5), аутентификация потребуется только со стороны компьютера. Иными словами, если компьютер, инициирующий подключение к изолированной системе, является членом домена, подключение будет разрешено без требования аутентификации со стороны пользователя.
Сертификат компьютера. Параметр Computer certificate — налагающий самые строгие ограничения — дает возможность указывать, что обращаться к изолированной системе могут только те компьютеры, которые обладают сертификатом, выданным определенным удостоверяющим центром Certification Authority (CA).
Сертификаты работоспособности. В нижней части диалогового окна Customize IPsec Settings расположена любопытная кнопка-флажок Accept only health certificates; с ее помощью можно установить дополнительный уровень безопасности.
Если IPsec используется в сочетании со средствами NAP для изоляции неработоспособной системы, изолируемая система будет принимать только компьютерные сертификаты, выданные центром регистрации работоспособности соответствующего NAP-решения. Дополнительные сведения о настройке NAP с IPsec можно найти в подготовленной специалистами Microsoft статье «Step-by-Step Guide: Demonstrate NAP IPsec Enforcement in a Test Lab» (www.microsoft.com/Downloads/details. aspx? FamilyID=298ff956-1e6c-4d97?a3ed-7e7ffc4bed32).
Дополнительно. В нижней части диалогового окна вы увидите параметр Advanced, который позволяет выбирать различные методы аутентификации, выполняемой на этапах согласования и сопоставления безопасности IPsec. Сопоставление безопасности — это сочетание согласованного ключа, протокола безопасности, а также индекса параметров безопасности, которые в совокупности определяют уровень безопасности, выбранный для защиты канала связи между системами. Когда вы нажмете кнопку Customize, на экране появится пара идентичных диалоговых окон First authentication и Second authentication, как показано на экране 5.
Первый метод аутентификации применяется в ходе первой фазы согласований IPsec. Во время этой фазы два компьютера устанавливают защищенный канал связи с использованием аутентификации. Для этого осуществляется согласование политик, обмен ключами Диффи-Хеллмана и процедура аутентификации. При использовании второго метода аутентификации можно указать, как выполняет процедуру аутентификации пользователь, работающий на другом компьютере. Варианты выбора: протокол аутентификации Kerberos V5, пользовательские сертификаты и сертификат работоспособности компьютера. Оба метода применяются по усмотрению пользователя, но для обеспечения безопасности среды вы должны требовать аутентификации, по крайней мере по первому методу. Для целей данной статьи следовало бы выбрать метод аутентификации Computer and User (using Kerberos V5) и нажать кнопку Next.
Какой сетевой профиль?
На странице мастера Profile, представленной на экране 6, можно указать, к какому сетевому профилю применяется данное правило. Выбирайте значения Domain, Private и Public (все они предлагаются по умолчанию). Однако следует подумать об изменении этих значений, особенно если вы часто изменяете местоположение изолированной системы (например, ноутбуков).
Сетевой профиль Domain относится к сети, которая дает возможность подключаться к контроллерам доменов DC и регистрироваться в этом домене. Профиль Private относится к сетям, которые пользователь определяет как частные (например, к домашним сетям). Профиль Public относится к сетям, которые пользователь относит к общедоступным после того, как подключается к ним (речь идет о сетях с высоким риском для безопасности, скажем о сетях в гостиницах и о точках доступа, расположенных в общественных местах).
В некоторых случаях флажок Private целесообразно сбросить. Например, если вы применяете правило безопасного подключения для своего ноутбука, возможно, вы захотите изолировать его в домене или в общедоступной среде, но сохранить доступ к своей домашней (частной) сети. Разумеется, для обеспечения максимального уровня безопасности необходимо установить все флажки.
На последнем этапе работы с мастером правилу присваивается имя. Я рекомендую выбирать описательные имена. После того как вы нажмете кнопку Finish, правило будет автоматически активировано и отобразится в списке правил.
Реализация правил брандмауэра для входящих подключений
Если вы хотите наложить на обмен данными с изолированной системой более жесткие ограничения, можете создать дополнительные правила брандмауэра для входящих подключений — например, указать порты, открытые для коммуникации, и IP-адреса, с которых возможен обмен данными. Вы можете принять эти меры с помощью набора стандартов IPsec или с использованием чисто сетевых технологий, но дело в том, что новый брандмауэр Windows Firewall with Advanced Security Console позволяет осуществлять управление с одного места. Кроме того, вы можете требовать применения шифрования для обеспечения безопасности трафика с использованием протокола ESP (Encapsulating Security Payload) через брандмауэр Windows Firewall with Advanced Security Console.
Правой кнопкой мыши щелкните на узле Inbound Rules и в контекстном меню выберите элемент New Rule. На экране откроется окно мастера New Inbound Rule Wizard. Выберите пункт Port, нажмите кнопку Next, выделите пункт TCP или UDP и укажите порт, который хотите открыть (к примеру, вы можете открыть только порты для веб-трафика — 80 и 443). Нажмите кнопку Next. На следующем экране выберите вариант Allow the connection if it is secure, как показано на экране 7.
Тем самым вы свяжете данное правило с правилом безопасности подключения, которое уже создали. Подключения через указанные порты будут выполняться только в тех случаях, если они успешно пройдут процедуру аутентификации в соответствии с правилом безопасности подключения. Для применения функции шифрования вы можете также установить настройку Require the connections to be encrypted. Нажмите кнопку Next, и вы сможете указать компьютеры и пользователей (членов домена), к которым применяется данное правило. Наконец, вы можете выбрать сетевой профиль и присвоить правилу имя.
Более подробные сведения о настройке правил брандмауэра можно найти в статье Microsoft «Windows Firewall with Advanced Security and IPsec for Windows Server 2008» (technet.microsoft.com/en-us/library/dd44 8524.aspx).
Настройка исключений
В некоторых случаях возникает потребность освободить компьютеры, группы или диапазоны IP-адресов, присвоенных компьютерам, от необходимости проходить процедуру аутентификации при установлении соединения с изолированной системой — вне зависимости от положений других правил безопасности подключения. Например, вы можете с помощью исключения предоставить доступ к тем компьютерам инфраструктуры (например, к контроллерам доменов AD, к серверам DHCP или CA), с которыми изолированная система должна вступать во взаимодействие еще до того, как будет выполнена процедура аутентификации.
Здесь надо сделать одно предупреждение: будьте очень осторожны при формулировании правил изоляции, которые могут оказать влияние на работу серверов инфраструктуры. Серверам CA, DC, DHCP, DNS и другим серверам инфраструктуры не должны предъявляться требования в плане обмена данными по стандартам IPsec при установлении как входящих, так и исходящих подключений.
Если правила создаются, их нужно формулировать с исключительным вниманием, чтобы не прошедшие аутентификацию компьютеры могли пройти процедуру аутентификации и получить доступ к этим службам.
Рядовые серверы и рабочие станции нужно настраивать так, чтобы они не запрашивали и не требовали разрешения на подключение к этим серверам, и для этого следует применять правила исключения.
Для настройки исключений вновь запустите мастер New Inbound Rule Wizard щелчком правой кнопкой мыши на правилах Connection Security Rules, затем выделите пункт Authentication Exemption и нажмите кнопку Next. На следующем экране нажмите кнопку Add, чтобы добавить компьютеры, диапазоны IP-адресов или определенные типы компьютеров, на которые не будет распространяться требование о прохождении аутентификации. Выбрав необходимые позиции, нажмите кнопку Next и выделите сетевой профиль, к которому будет применяться это правило. Затем присвойте правилу имя и нажмите кнопку Finish.
Использование групповых политик
Самый удобный способ реализовать изоляцию на нескольких компьютерах — воспользоваться групповой политикой. Для этого потребуется, чтобы на контроллерах доменов была установлена система Server 2008, поскольку объекты групповой политики системы Windows 2003 не имеют такой возможности. Впрочем, если ваши контроллеры доменов работают под управлением Windows 2003, вы сможете воспользоваться политикой IPsec.
Перед созданием и связыванием объекта групповой политики Group Policy Object (GPO) нужно сгруппировать системы с аналогичными требованиями по изоляции и распределить их по отдельным организационным единицам OU. После того как вы создадите структуру организационных единиц и переместите серверы в соответствующие OU, в меню Administrative Tools запустите консоль Group Policy Management Console. В контейнере Group Policy Objects создайте новый объект GPO, щелкните на нем правой кнопкой мыши и откройте этот объект, выбрав в контекстном меню пункт Edit. Перейдите на узел Computer Configuration и распахните Policies, Windows Settings, Security Settings, Windows Firewall with Advanced Security. На правой панели редактора Group Policy Management Editor вы увидите те же элементы пользовательского интерфейса, которые отображаются, когда вы работаете с этой консолью локально. Щелкните на элементе Connection Security Rules, запустите мастер New Inbound Rule Wizard и реализуйте желательные настройки в соответствии с инструкциями, которые я изложил выше.
Когда эти действия будут выполнены, внутри объекта GPO будет создано правило безопасности подключения. Если вы щелкните на нем правой кнопкой мыши, в контекстном меню выберете пункт Properties и перейдете на вкладку Computers, то сможете указать конечные точки правила — компьютеры, к которым оно будет применяться. В качестве любой из двух конечных точек можно указать один или несколько компьютеров. Можно указать конкретный IP-адрес, подсеть, заранее определенный адрес или диапазон IP-адресов. Имейте в виду, что правила безопасного подключения будут применяться к обменам между любым компьютером — конечной точкой 1 и любым компьютером — конечной точкой 2. После установки всех необходимых настроек можно связать GPO с организационной единицей, которая содержит системы, подлежащие изоляции.
Дополнительная безопасность
Технология изоляции серверов обеспечивает еще один уровень безопасности и управления доступом, дополняющий другие технологии защиты данных, такие как средства для борьбы с вирусами и шпионским программным обеспечением, брандмауэры и системы обнаружения вторжений.
Она дает возможность использовать настройки групповых политик для создания, распределения и централизованного управления правилами безопасного подключения с целью изоляции отдельных систем.
Кроме того, это решение функционирует незаметно: конечные пользователи продолжают работать, как и прежде.
Дополнительная подготовка пользователей не нужна, а администраторам не приходится устанавливать новые программные средства или обходить все компьютеры в процессе развертывания — в этом состоит важное преимущество данной технологии.
Дамир Диздаревич (ddamir@logosoft.ba) — менеджер центра подготовки Logosoft в Сараево, Босния. Имеет звание MVP for Windows Server Infrastructure Management и сертификаты MCSE, MCTS, MCITP и MCT