1. Обобщенная структура территориально распределенной корпоративной сети Типовые методы объединения отдельных сетей офисов в единую кспд
 Скачать 3.9 Mb.
|
|
83. Подключение удаленного VPN-клиента по протоколу IPSec 1 вариант (короткий): Протокол IPsec используется, в основном, для организации VPN-туннелей . В этом случае протоколы ESP и AH работают в режиме туннелирования. Кроме того, настраивая политики безопасности определенным образом, протокол можно использовать для создания межсетевого экрана . Смысл межсетевого экрана заключается в том, что он контролирует и фильтрует проходящие через него пакеты в соответствии с заданными правилами. Устанавливается набор правил, и экран просматривает все проходящие через него пакеты. Если передаваемые пакеты попадают под действие этих правил, межсетевой экран обрабатывает их соответствующим образом. [15] Например, он может отклонять определенные пакеты, тем самым прекращая небезопасные соединения. Настроив политику безопасности соответствующим образом, можно, например, запретить веб-трафик. Для этого достаточно запретить отсылку пакетов, в которые вкладываются сообщения протоколов HTTP и HTTPS . IPsec можно применять и для защиты серверов — для этого отбрасываются все пакеты, кроме пакетов, необходимых для корректного выполнения функций сервера. Например, для Web-сервера можно блокировать весь трафик, за исключением соединений через 80-й порт протокола TCP, или через порт TCP 443 в случаях, когда применяется HTTPS . Пример [16] : IPsec_VPN С помощью IPsec здесь обеспечивается безопасный доступ пользователей к серверу. При использовании протокола ESP, все обращения к серверу и его ответы шифруются. Однако за VPN шлюзом (в домене шифрования) передаются открытые сообщения. Другие примеры использования IPsec [17] : • шифрование трафика между файловым сервером и компьютерами в локальной сети, используя IPsec в транспортном режиме. соединение двух офисов с использованием IPsec в туннельном режиме 98 2 вариант (длинный): VPN, или Virtual Private Network, что в переводе означает Виртуальная Частная Сеть - это криптосистема, позволяющая защитить данные при передаче их по незащищенной сети, такой как Интернет. Несмотря на то, что данное описание подходит и для криптосистемы SSH, VPN имеет другое предназначение. SSH разрабатывался как средство, позволяющее пользователю безопасно зайти и удалѐнно управлять другим компьютером. Цель VPN - прозрачный доступ к ресурсам сети, где пользователь может делать всѐ то, что он делает обычно независимо от того, насколько он удалѐн. По этой причине VPN приобрѐл популярность среди дистанционных работников и офисов, которые нуждаются в совместном использовании ресурсов территориально разделѐнных сетей. VPN Туннели Прежде чем приступить к настройке VPN, необходимо познакомится с общепринятой терминологией и с некоторыми проблемами настройки. Начнѐм с терминологии. VPN соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создаѐтся в незащищѐнной сети, в качестве которой чаще всего выступает Интернет. Соединение точка-точка подразумевает, что оно всегда устанавливается между двумя компьютерами, которые называются узлами или peers. Каждый peer отвечает за шифрование данных до того, как они попадут в туннель и расшифровке этих данных после того, как они туннель покинут. Хотя VPN туннель всегда устанавливается между двумя точками, каждый peer может устанавливать дополнительные туннели с другими узлами. Для примера, когда трѐм удалѐнным станциям необходимо связаться с одним и тем же офисом, будет создано три отдельных VPN туннеля к этому офису. Для всех туннелей peer на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети, как это показано на рисунке 1: Рисунок 1 -- VPN шлюз к сети 99 В этом случае VPN узел называется VPN шлюзом, а сеть за ним - доменом шифрования (encryption domain). Использование шлюзов удобно по нескольким причинам. Во-первых, все пользователи должны пройти через одно устройство, которое облегчает задачу управления политикой безопасности и контроля входящего и исходящего трафика сети. Во-вторых, персональные туннели к каждой рабочей станции, к которой пользователю надо получить доступ, очень быстро станут неуправляемыми (т.к. туннель - это канал типа точка-точка). При наличии шлюза, пользователь устанавливает соединение с ним, после чего пользователю открывается доступ к сети (домену шифрования). Интересно отметить, что внутри домена шифрования самого шифрования не происходит. Причина в том, что эта часть сети считается безопасной и находящейся под непосредственным контролем в противоположность Интернет. Это справедливо и при соединении офисов с помощью VPN шлюзов. Таким образом гарантируется шифрование только той информации, которая передаѐтся по небезопасному каналу между офисами. Рисунок 2 показывает VPN соединяющую два офиса: Рисунок 2 -- защищѐнная сеть на основе незащищѐнной сети Сеть A считается доменом шифрования VPN шлюза A, а сеть B доменом шифрования VPN шлюза B, соответственно. Когда пользователь сети A изъявляет желание отправить данные в сеть B, VPN шлюз A зашифрует их и отошлѐт через VPN туннель. VPN шлюз B расшифрует информацию и передаст получателю в сети B. Помните режим транспорта и режим туннеля в Терминологии Криптографии 101 ? Всякий раз, когда соединение сетей обслуживают два VPN шлюза, они используют режим туннеля. Это означает, что шифруется весь пакет IP, после чего к нему добавляется новый IP заголовок. Новый заголовок содержит IP адреса двух VPN шлюзов, которые и увидит пакетный сниффер при перехвате. Невозможно определить компьютер-источник в первом домене шифрования и компьютер-получатель во втором домене. Посмотрите на рисунок 1, иллюстрирующий типичное использование VPN, которая позволяет удалѐнным пользователям с переносыми компьютерами и пользователям, работающим из дома, иметь доступ к офисной сети. Чтобы эта схема заработала, пользователь должен иметь установленное ПО - VPN клиент, который обеспечит создание VPN туннеля к удалѐнному VPN шлюзу. По сценарию используется режим туннеля, т.к. пользователь хочет получить доступ к ресурсам домена, а не самого шлюза. Единственной случай, когда включается режим транспорта - это если одному компьютеру нужно получить доступ к другому непосредственно. Существует много вариантов VPN шлюзов и VPN клиентов. Это может быть аппаратное VPN устройство или программное VPN обеспечение, которое устанавливается на маршрутизаторах или на ПК. ОС FreeBSD поставляется вместе с ПО для создания VPN шлюза и для настройки VPN 100 клиента. В коллекции портов существуют и другие приложения, позволяющие соединяться со станциями под управлением других ОС. К счастью, в Интернет есть много источников информации о VPN, FAQ и варианты настроек. Я могу порекомендовать Tina Bird's VPN Information , VPN Labs , и Virtual Private Network Consortium (VPNC). Назависимо от используемого ПО, все VPN работают по следующим принципам: • Каждый из узлов идентифицирует друг друга перед созданием туннеля, чтобы удостовериться, что шифрованные данные будут отправлены на нужный узел • Оба узла требуют заранее настроеной политики, указывающей какие протоколы могут использоваться для шифрования и обеспечения целостности данных • Узлы сверяют политики, чтобы договориться об используемых алгоритмах; если это не получается, то туннель не устанавливается • Как только достигнуто соглашение по алгоритмам, создаѐтся ключ, который будет использован в симметричном алгоритме для шифрования/расшифровки данных Есть несколько стандартов регламентирующих вышеописанное взаимодействие. Вы, должно быть, слышали о некоторых из них: L2TP, PPTP, и IPSec. Т.к. IPSec - наиболее широко поддерживаемый стандарт, который имеет в арсенале наибольшее количество сокращений, оставшуюся часть статьи стоит посвятить именно ему. IPSec Стандарт IPSec был разработан для повышения безопасности IP протокола. Это достигается за счѐт дополнительных протоколов, добавляющих к IP пакету собственные заголовки, которые называются инкапсуляциями. Т.к. IPSec - стандарт Интернет, то для него существуют RFC (Requests For Comments). Если есть интерес покопаться во внутренностях IPSec, то следующие RFC с http://www.rfc-editor.org/ могут оказаться полезными: RFC 2401 IPSec RFC 2402 AH RFC 2406 ESP RFC 2409 IKE Приведѐм краткое описание каждого, чтобы получить необходимую информацию для понимания следующей статьи, посвящѐнной настройке IPSec VPN на FreeBSD системе. Начнѐм с сокращений, а затем посмотрим как они укладываются в общую картину создания виртуальной частной сети. AH (Authentication Header) - протокол заголовка идентификации. Обеспечивает целостность путѐм проверки того, что ни один бит в защищаемой части пакета не был изменѐн во время передачи. Не будем вдаваться в подробности, какая часть пакета защищается и где находятся данные AH заголовка, т.к. это зависит от используемого типа шифрования и в деталях, с диаграммами описывается в соответствующем RFC. Отметим лишь, что использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной. Также стоит отметить, что AH 101 разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путѐм шифрования содержимого пакета. ESP (Encapsulating Security Protocol) - инкапсулирующий протокол безопасности, который обеспечивает и целостность и конфиденциальность. В режиме транспорта ESP заголовок находится между оригинальным IP заголовком и заголовком TCP или UDP. В режиме туннеля заголовок ESP размещается между новым IP заголовком и полностью зашифрованным оригинальным IP пакетом. Т.к. оба протокола - AH и ESP добавляют собственные заголовки, они имеют свой ID протокола, по которому можно определить что последует за заголовком IP. Если вспомнить статью TCP Protocol Layers Explained , то в ней сказано, что каждый тип заголовка имеет собственный номер. Например, для TCP это 6, а для UDP - 17. При работе через firewall важно не забыть настроить фильтры, чтобы пропускать пакеты с ID AH и/или ESP протокола. Для AH номер ID - 51, а ESP имеет ID протокола равный 50. При создании правила не забывайте, что ID протокола не то же самое, что номер порта. Третий протокол, используемый IPSec - это IKE или Internet Key Exchange protocol. Как следует из названия, он предназначен для обмена ключами между двумя узлами VPN. Насмотря на то, что генерировать ключи можно вручную, лучшим и более масштабируемым вариантом будет автоматизация этого процесса с помощью IKE. Помните, что ключи должны часто меняться, и вам наверняка не хочется полагаться на свою память, чтобы найти время для совершения этой операции вручную. Главное - не забудьте настроить правило на файрволе для UPD порта с номером 500, т.к. именно этот порт используется IKE. SA (Security Association), что можно приближѐнно перевести как "связь или ассоциация безопасности" - это термин IPSec для обозначения соединения. При настроенном VPN, для каждого используемого протокола создаѐтся одна SA пара (т.е. одна для AH и одна для ESP). SA создаются парами, т.к. каждая SA - это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные SA пары хранятся на каждом узле. Если ваш узел имеет SA, значит VPN туннель был установлен успешно. Т.к. каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить к какому узлу он относится. Это номер называется SPI (Security Parameter Index) или индекс параметра безопасности. SA храняться в базе данных c названием, кто бы подумал - SAD (Security Association Database) или БД ассоциаций безопасности. Мы встретимся с ней ещѐ раз при настройке IPSec VPN. Каждый узел IPSec также имеет вторую БД - SPD или Security Policy Database (БД политики безопасности). Она содержит настроенную вами политику узла. Большинство VPN решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение. Какие настройки включает в себя политика? 1. Симметричные алгоритмы для шифрования/расшифровки данных 2. Криптографические контрольные суммы для проверки целостности данных 3. Способ идентификации узла. Самые распространнѐнные способы - это предустановленные 102 ключи (pre-shared secrets) или RSA сертификаты. 4. Использовать ли режим туннеля или режим транспорта 5. Какую использовать группу Diffie Hellman 6. Как часто проводить переидентификацию узла 7. Как часто менять ключ для шифрования данных 8. Использовать ли PFS 9. Использовать ли AH, ESP, или оба вместе При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie Hellman групп. В таком случае будет использована первая совпавшая на обоих узлах позиция. Запомните, очень важно, чтобы всѐ в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всѐ остальное совпадает, узлы всѐ равно не смогут установить VPN соединение. При настройе VPN между различными системами уделите время изучению того, какие алгоритмы поддерживаются каждой стороной, чтобы иметь выбор наиболее безопасной политики из возможных. Фаза Один и Фаза Два Теперь давайте посмотрим как всё это работает вместе. Установка и поддержка VPN туннеля происходит в два этапа. На первом этапе (фазе) два узла договариваются о методе идентификации, алгоритме шифрования, хэш алгоритме и группе Diffie Hellman. Они также идентифицируют друг друга. Всё это может пройти в результате обмена тремя нешифрованными пакетами (т.н. агрессивный режим) или через обмен шестью нешифрованными пакетами (стандартный режим - main mode). Предполагая, что операция завершилась успешно, создаётся SA первой Фазы - Phase 1 SA (также называемый IKE SA) и процесс переходит к Фазе Два. На втором этапе генерируются данные ключей, узлы договариваются насчёт используемой политики. Этот режим, также называемый быстрым режимом (quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Такое положение дел усложняет решение проблем в случае неполадок на второй фазе при успешном завершении первой. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA, и на этом установка туннеля считается завершённой. Когда же это всё происходит? Сначала на узел прибывает пакет с адресом назначения в другом домене шифрования, и узел инициирует Фазу Один с тем узлом, который отвечает за другой домен. Допустим, туннель между узлами был успешно установлен и ожидает пакетов. Однако, узлам необходимо переидентифицировать друг друга и сравнить политику через определённое время. Это время известно как время жизни Phase One или IKE SA lifetime. Узлы также должны сменить ключ для шифрования данных через другой отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime. Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Типичное время жизни Phase Two - 60 минут. Для Phase One оно равно 24 часам. Ваша задача заключается в том, чтобы сконфигурировать оба узла с одинаковыми параметрами времени жизни. Если этого не произойдёт, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Странные проблемы могут возникнуть и в том случае, когда время жизни Фазы Один меньше аналогичного параметра Фазы Два. Если настроенный ранее туннель виснет, то первая вещь, которая нуждается в проверке - это время жизни на обоих узлах. В заключение стоит упомянуть, что при смене политики на одном из узлов, изменения вступят в силу только при следующем наступлении Фазы Один. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из SAD. Это вызовёт пересмотр соглашения между узлами с новыми настройками политики безопасности. 84. Компоненты политики удаленного доступа RAS Политика коммутируемого удаленного доступа: 103 Расположена локально, не в Active Directory Состоит из: • Условий (чтобы определить, применяется ли политика к попытке соединения, используется одно или более свойств) • Разрешений (разрешение либо предоставлено либо нет) • Профиля (настройки, которые применяются к авторизованному соединению) Примеры условий при попытке подключения: ■ Между восемью и пятью утра понедельник-пятница, ■ Производится с любого IP адреса, который соответствует 192.168.*.*, ■ Пользователь, запрашивающий соединение, принадлежит группе sales. Настройка разрешений удаленного доступа 104 Профили удаленного доступа Настройка Определяет… Аутентификация Принятые протоколы аутентификации Шифрование Принятый уровень шифрования Ограничения удаленного доступа Время дня, день недели, число минут, которые клиент может быть подключен. IP Метод которым клиенту присваивается IP адрес и применяемые IP фильтры Multilink Максимальное число портов, которое может использовать multilink соединение Дополнительно Набор атрибутов RADIUS, которые передаются IAS сервером RADIUS клиенту Пример настройки профиля: ■ Время соединения 90 минут, ■ Четыре линии multilink (линия отключается, если используется на 50% в течение 10 минут) ■ Требуется IPSec шифрование 105 85. Алгоритм политики предоставления соединения клиенту удаленного доступа Когда пользователь пытается установить подключение, попытка подключения принимается или отклоняется в соответствии со следующим алгоритмом. 1.Проверяется первая политика из списка политик удаленного доступа. Если политик удаленного доступа нет, попытка подключения отклоняется. 2.Если не все параметры попытки подключения соответствуют политике удаленного доступа, проверяется следующая политика удаленного доступа. Если политик удаленного доступа больше нет, попытка подключения отклоняется. 3.Если все параметры попытки подключения соответствуют политике, проверяется значение атрибута Ignore-User-Dialin-Properties. 4.Если для атрибута Ignore-User-Dialin-Properties установлено значение “Ложь”, проверяется настройка разрешений удаленного доступа для пользователя, пытающегося установить соединение. Если в политике задано разрешение “Запретить доступ”, попытка подключения отклоняется. Если в политике задано разрешение “Разрешить доступ”, применяются параметры учетной записи пользователя и параметры профиля. Если попытка подключения не соответствует параметрам учетной записи пользователя и параметрам профиля, попытка подключения отклоняется. Если попытка подключения соответствует параметрам учетной записи пользователя и параметрам профиля, попытка подключения принимается. Если разрешение на удаленный доступ отлично от “Разрешить доступ” и “Запретить доступ”, то оно должно иметь значение “Управление на основе политики удаленного доступа”. Выполняется проверка разрешения на удаленный доступ, заданного политикой удаленного доступа. Если задано разрешение “Отказать в праве удаленного доступа”, попытка подключения отклоняется. Если в политике задано разрешение “Предоставить право удаленного доступа”, применяются параметры учетной записи пользователя и параметры профиля. Если попытка подключения не соответствует параметрам учетной записи пользователя и параметрам профиля, попытка подключения отклоняется. Если попытка подключения соответствует параметрам учетной записи пользователя и параметрам профиля, попытка подключения принимается. 5. Если для атрибута Ignore-User-Dialin-Properties установлено значение “Истина”, проверьте настройку разрешений политики. Если задано разрешение Отказать в праве удаленного доступа, попытка подключения отклоняется. Если в политике задано разрешение Предоставить право удаленного доступа, применяются параметры профиля. Если попытка подключения не соответствует параметрам профиля, попытка подключения отклоняется. Если попытка подключения соответствует параметрам профиля, попытка подключения принимается. На следующем рисунке показан алгоритм обработки попыток подключения с использованием политики удаленного доступа. |