Реферат: Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования

6.  После того как клиент получил в свое распоряжение допустимый билет и ключ сеанса для сервера, он инициирует взаимодействие непосредственно с сервером. Для этого клиент конструирует удо­стоверение (authenticator), состоящее из текущего времени, имени клиента, по желанию — зависящую от приложения контрольную сумму и случайным образом сгенерированный начальный номер последовательности и/или подключ сеанса, используемые для извле­чения уникального идентификатора сеанса для требуемой службы. Удостоверения действуют только для одной попытки и не могут применяться повторно или использоваться в атаках воспроизведе­ния, потому что они зависят от текущего времени. Удостоверение шифруется при помощи ключа сеанса и передается вместе с биле­том сеанса серверу, у которого запрашивается служба.

7.  Когда сервер получает билет от клиента, он расшифровывает билет сеанса при помощи общего секретного ключа сервера (если суще­ствует более одного ключа, нужный ключ указывается в части би­лета в простой текстовой форме).

8. Затем сервер извлекает из билета ключ сеанса и использует его для расшифровки удостоверения. Способность сервера расшифровать билет подтверждает, что он был зашифрован при помощи секрет­ного ключа сервера, известного только KDC и самому серверу, та­ким образом, подлинность клиента подтверждается. Удостоверение используется для гарантии того, что взаимодействие недавнее и не является атакой на основе повторного запроса.

Билеты могут повторно использоваться в течение периода, определя­емого политикой безопасности домена, но не превышающего восьми часов. Клиенты кэшируют свои билеты сеанса в безопасном месте, расположенном в оперативной памяти, и уничтожа­ют их по истечению срока действия.

Kerberos сокращает предоставление билетов, во время первого конта­кта с клиентом предоставляя билет сеанса самому себе так же, как и за­прашиваемому серверу. КОС отвечает на этот первоначальный запрос — сначала предоставляя билет сеанса для последующих запросов о билетах, называемый Ticket-Granting Ticket (билет на предоставление билетов, TGT), и затем — билет сеанса для запрашиваемого сервера. TGT устра­няет потребность в дальнейшем проводимом Active Directory поиске клиента, осуществляя предварительную аутентификацию последую­щих запросов о билетах точно таким же способом, каким Kerberos осуществляет аутентификацию всех остальных запросов. Как и лю­бой билет сеанса, билет TGT действителен до истечения срока дей­ствия, который зависит от политики безопасности домена.

Kerberos технически делится на две службы: службу TGT (единствен­ную службу, которая действительно осуществляет аутентификацию в Active Directory) и службу предоставления билетов, выдающую биле­ты сеансов по получении допустимого TGT.

6.1.2. Доверительные отношения между доменами

Kerberos работает через границы домена (домены в терминологии Kerberos называются сферами (realm), эти термины эквивалентны).

Имя домена, к которому принадлежит принципал безопасности, являет­ся частью имени принципала безопасности. Членство в одном дереве Active Directory автоматически создаст междоменные ключи Kerberos между родительским доменоми его дочерними доменами.

Обмен междоменными ключами регистрирует контроллеры домена одного домена в качестве принципалов безопасности в доверенном домене. Эта простая концепция дает возможность любому принципа­лу безопасности в домене получить билет сеанса в чужом КОС.

1.  Когда принципал безопасности в одном домене хочет обратиться к принципалу безопасности в соседнем домене (один из доменов ро­дительский, другой дочерний), он отправляет запрос о билете сеан­са своему локальному КОС.

2. КОС определяет, что сервер назначения не находится в локаль­ном домене, и отвечает клиенту, отправляя ему билет направления (referral ticket), который является билетом сеанса, зашифрованный при помощи междоменного ключа.

3. Клиент использует билет направления для запроса билета сеанса непосредственно у чужого KDC.

4. Чужой KDC расшифровывает билет направления, потому что об­ладает междоменным ключом, подтверждающим, что доверенный контроллер домена доверяет клиенту (иначе он не предоставил бы ключ направления).

5. Чужой KDC предоставляет билет сеанса, допустимый для чужого сервера назначения.

Для более удаленных доменов этот процесс просто повторяется. Для доступа к принципалу безопасности в домене, расположенном на рас­стоянии двух узлов в иерархии доменов Active Directory, клиент за­прашивает билет сеанса для сервера назначения в своем KDC, который в ответ пересылает ему билет направления к следующему домену в пути. Затем клиент запрашивает билет сеанса, используя только что полученный билет назначения. Этот сервер просто ответит билетом назначения, допустимым для следующего сервера в цепочке. Этот про­цесс будет продолжаться до тех пор, пока не будет достигнут локаль­ный домен для принципала безопасности назначения. В этот момент ключ сеанса (технически — TGT и ключ сеанса) предоставляется запра­шивающему клиенту, который затем сможет пройти аутентификацию непосредственно у принципала безопасности назначения.

Последняя важная концепция в аутентификации Kerberos — делегиро­вание аутентификации. Делегирование аутентификации (delegation of authentication) — это механизм, посредством которого принципал безопасности дает возможность другому принципалу безопасности, с которым у него установлен сеанс, запрашивать аутенти­фикацию от своего имени у третьего принципала безопасности. Этот механизм важен в многозвенных приложениях, таких как web-узел с поддержкой базы данных. При помощи делегирования аутентифика­ции клиент—web-браузер может пройти аутентификацию у web-cepвера и затем предоставить web-серверу специальный билет TGT, ко­торый сервер сможет использовать для запроса билетов сеансов от своего имени, web-сервер сможет затем использовать передаваемые web-клиентом идентификационные данные для аутентификации на сервере баз данных.

6.1.3. Групповые политики

Групповая политика (Group Policy) — это основной механизм Win­dows 2000 при управлении конфигурацией клиентских рабочих стан­ций для контроля за безопасностью и для администрирования. Полити­ки (policy) — это, в общем случае, просто наборы изменений в установках компьютера по умолчанию. Политики обычно организуются так, чтобы отдельные политики содержали изменения, реализующие конкретную цель — например, отключение или включение шифрования файловой системы или контроль за программами, которые разрешено запускать пользователю.

Групповые политики (Group Policies) применяются к элементам кон­тейнера Active Directory (таким, как домен или Organizational Unit (Подразделение)). Группы безопасности могут быть использованы для фильтрации групповых политик, но политики нельзя применять к группам безопасности. Групповая политика Windows 2000 не являет­ся только механизмом безопасности — ее основное предназначение состоит в управлении изменениями и конфигурацией, — но она позво­ляет администраторам создавать дополнительные системы безопасно­сти, ограничивая свободу действий пользователей. Групповые политики можно применять для управления следующими элементами политик компьютера (computer policy):

§  настройки реестра, связанные с конфигурацией и управлением без­опасности;

§  установка программного обеспечения;

§  сценарии, выполняющиеся при загрузке-завершении работы и вхо­де-выходе из системы;

§  запуск служб;

§  разрешения реестра;

§  разрешения NTFS;

§  политики открытого ключа;

§  политики IPSec;

§  настройки системы, сети и компонентов Windows.

Групповые политики можно применять для управления следующими элементами политик пользователя (user policy):

§  установка программного обеспечения;

§  настройки Internet Explorer;

§  сценарии входа-выхода в систему;

§  настройки безопасности;

§  Remote Installation Service (служба удаленной установки);

§  перенаправление папок;

§  компоненты Windows;

§  настройки стартового меню, панели задач, рабочего стола и Control Panel (Панель управления);

§  сетевые настройки;

§  настройки системы.

Объекты групповой политики (Group Policy Objects) по существу яв­ляются настраиваемыми файлами реестра (и файлами поддержки, та­кими, как пакеты .msi и сценарии), определяемыми настройками по­литики, которые загружаются и применяются к входящим в домен клиентским компьютерам при начальной загрузке компьютера (кон­фигурация компьютера) и при входе пользователя в систему (конфи­гурация пользователя). Объекты групповой политики и все файлы поддержки, требуемые для групповой политики, хранятся на контрол­лерах домена в общей папке SysVol. К одному компьютеру могут при­меняться несколько групповых политик, при этом каждая политика будет перезаписывать настройки предыдущей политики в соответ­ствии со сценарием «действует последняя примененная» — если толь­ко определенная политика не сконфигурирована так, чтобы ее нельзя было перезаписать.

Каждый объект групповой политики состоит из двух частей: конфи­гурации компьютера и конфигурации пользователя. Можно сконфи­гурировать настройки и пользователя, и компьютера в одном объекте групповой политики, а в окне свойств политики можно отключить часть объекта, относящуюся к пользователю или компьютеру.

Политики компьютера применяются во время начальной стадии рабо­ты системы перед входом пользователя в систему (и во время периоди­ческих восстановлений). Политики компьютера регулируют операци­онную систему, приложения (включая Windows Explorer) и сценарии, выполняющиеся при загрузке-завершении работы. В случае конфликта политики компьютера обычно имеют пре­имущества над политиками пользователя.

Политики пользователя применяются после того, как пользователь вошел в систему, но перед тем, как ему будет разрешено работать на компьютере, а также во время цикла периодических обновлений. По­литики пользователя регулируют поведение операционной системы, настройки рабочего стола, настройки приложений, перенаправление папок и пользовательские сценарии входа-выхода в систему.

Групповые политики называются групповыми политиками потому, что они применяются к группам пользователей, а именно к членам контейнеров Active Directory, таких как домены или контейнеры OU. Групповые политики иерархичны по своей природе: многие политики могут быть применены к одному компьютеру или пользователю, они применяются в порядке иерархии. Кроме того, последующие политики могут перекрыть настройки предыдущих политик. Это означает, что отдельные элементы политики можно детализировать при переходе от применяемых к большим группам, таким как домены, политик широкого действия, к узконаправленным политикам, применяемым к меньшим группам, таким как контейнеры OU.

Групповые политики конфигурируются на следующих уровнях в сле­дующем порядке.

Локальный компьютер. Групповая политика применяется первой, поэтому она может быть перекрыта политикой домена. У каждого компьютера существует одна применяемая к нему локальная груп­повая политика. Нелокальные групповые политики загружаются из Active Directory в зависимости от месторасположения пользовате­ля и компьютера в Active Directory.

Офис. Эти групповые политики уникальны тем, что они управля­ются из оснастки Active Directory Sites and Services (Сайты и служ­бы). Политики офисов применяются к офисам, поэтому их следует применять для вопросов, связанных с физическим расположением пользователей и компьютеров, а не с участием в безопасности домена.

Домен. Групповые политики применяются ко всем пользователям и компьютерам в домене, и именно здесь следует реализовывать глобальные политики организации.

Контейнер OU (Organizational Unit). Групповые политики применяются к входящим в них пользователям и компьютерам. Групповые  политики применяются сверху вниз (родитель, затем потомок) иерархии OU.

Группа безопасности. Группы безопасности функционируют по-другому, чем настоящие контейнеры доменов. В этом случае не определяются групповые политики, применяемые к группе безопасности, а фильтруются (разрешаются или запрещаются) применяемые к пользователю групповые политики на основе вхождения пользо­вателя в группы безопасности.

Групповые политики применяются только целиком, нельзя указать, чтобы применялась только часть политики.

Одна групповая политика может быть применена более чем к одному контейнеру в Active Directory, потому что групповые политики не хра­нятся в Active Directory месте их применения. Хранится только ссылка на объект групповой политики, сами объекты на самом деле хранятся в реплицируемой общей папке SysVol на контроллерах домена в домене.

Групповая политика домена управляется через оснастку Active Di­rectory Sites and Services для групповых политик офисов или оснастку Active Directory Users and Computers (Пользователи и компьютеры) для всех остальных нелокальных групповых политик.

Одна политика может быть применена к нескольким контейнерам Active Directory, хотя нет необходимости явно применять политику к детям контейнера, к которому уже применена политика, потому что политика будет уже применена к принципалу безопасности.

6.4. Безопасность общих папок

Общие папки (shares) — это каталоги или тома на рабочей станции или сервере, к которым имеют доступ другие компьютеры в сети. Доступ к общим папкам может быть либо открытым, либо контролироваться разрешениями. Общие папки используют безопасность уровня общих папок (share-level security), которая управляет разрешениями общих папок, но не конкретных объектов внутри папки. Безопасность уровня файлов преобладает над безопасностью уровня общих папок, но может применяться только на томах NTFS.

Хотя при помощи общих папок можно установить приемлемую без­опасность в маленькой сети, техника безопасности общих папок в дей­ствительности плохо масштабируется для обеспечения безопасности больших сетей и окружений.

Основная причина для установки сети — это совместное использова­ние файлов. Любой каталог на любой рабочей станции или сервере в сети может быть определен как общий каталог. Хотя общие папки не обладают тем же уровнем безопасности, как каталоги NTFS на выде­ленном сервере, Windows 2000 предоставляет простой набор возмож­ностей безопасности для общих каталогов.

Доступ к общим папкам. На сервере может быть сконфигуриро­вано несколько общих папок — тома целиком, каталоги на более глу­боких уровнях, — все они видятся пользователям как единый список под именем сервера. Пользователи могут получить доступ к папке с именем сервера через значок My Network Places (Мое сетевое окружение) и затем открыть ее, чтобы отобразить список общих папок.

Общие папки по умолчанию. В  Shared Folder Manager (диспетчер общих папок), несколько общих папок с именами, заканчивающимися знаком доллара: С$, ADMIN$ и т. п. Это административные общие папки (administrative shares) — общие папки, автоматически конфигурируемые Windows 2000 и доступные только для администраторов и самой операционной системы. Эти об­щие папки используются для удаленного администрирования и вза­имодействия между системами.

Административные общие папки представляют определенный риск с точки зрения безопасности. Хакер, получивший доступ к учетной записи Administrator на одной рабочей станции в рабочей группе, сможет получить доступ к системным дискам других рабочих станций, легко получая доступ уровня администратора ко всей рабочей группе.

Можно повысить безопасность, отключив автоматические административные общие папки, созданные для корневых каталогов дисков жесткого диска (С$, 0$ и т. д.).

Безопасность уровня общих папок аналогична безопасности файловой системы, но далеко не так разнообразна (или безопасна), потому что записи управ­ления доступом общих папок могут применяться только к общей пап­ке как к единому целому. Безопасность нельзя настроить внутри общей папки.

У безопасности уровня общих папок есть одно существенное преиму­щество: она работает с любым общим каталогом, находится ли он на томе NTFS или FAT. Безопасность уровня общих папок — единствен­ный способ обеспечить безопасность каталогов FAT. Однако установ­ленные разрешения для общей папки влияют только на удаленных пользователей. Пользователи, локально вошедшие в систему компью­тера, имеют доступ ко всем папкам на томе FAT, независимо от того, общие они или нет. Безопасность уровня общих папок также не приме­нима к пользователям, вошедшим в систему локально, или клиентам Terminal Services (службы терминала).

Разрешения общих папок. Для общих папок возможны следующие разрешения, каждое из которых может быть разрешено или запрещено:

•   Read (Чтение) — позволяет пользователям просматривать со­держимое каталога, открывать и читать файлы и запускать про­граммы;

•   Change (Изменение) — разрешает все, что и разрешение Read (Чтение). Плюс к этому пользователи могут создавать, удалять и изменять файлы;

•   Full Control (Полный доступ) — разрешает все, что и разрешения Read (Чтение) и Change (Изменение). Плюс к этому пользователи могут изменять разрешения и менять владельца файлов.

6.5. Шифрование сетевого уровня

Виртуальные частные сети (virtual private network, VPN) это высокозатратный способ расширить локальную сеть через Интернет до удаленных сетей и удаленных клиентских компьютеров. Сети VPN используют Интернет для передачи трафика локальной сети из одной частной сети в другую, инкапсулируя трафик локальной сети в IP-па­кеты. Зашифрованные пакеты не могут быть прочитаны промежуточ­ными компьютерами Интернета и могут содержать любой вид вза­имодействий локальной сети, включая доступ к файлам и принтерам, электронную почту локальной сети, вызовы удаленных процедур и клиент-серверный доступ к базам данных.

Виртуальные частные сети между локальными сетями можно уста­навливать при помощи компьютеров-серверов, брандмауэров или маршрутизаторов. Доступ клиентов к VPN может осуществляться при помощи программного обеспечения VPN на клиентских компьюте­рах или путем удаленного телефонного подключения к поставщикам услуг Интернета (ISP), поддерживающим протокол VPN. При втором методе, однако, ISP становится вашим партнером в безопасности сети.

Одни только системы VPN не обеспечивают достаточной защиты сети также потребуется брандмауэр и другие службы безопасности Интернета для обеспечения безопасности сети. Проблемы с безопасностью в особенности свойственны протоколу РРТР

Использование Интернета для связи локальных сетей и предостав­ления удаленным компьютерам доступа к локальной сети влечет за собой проблемы безопасности, производительности, надежности и управляемости. Клиенты и серверы локальной сети должны быть защищены от Интернета при помощи трансляции сетевых адресов, осуществляемой брандмауэром, и/или прокси-серверами так, чтобы (в идеале) злоумышленники в сети не могли даже узнать об их существовании, что сильно снижает их подверженность индивидуальным атакам. Для того чтобы затруднить хакерам возможность захвата закрытой информации фирмы, большинство брандмауэров конфигурируются так, чтобы не пропускать типичные служебные протоколы локальной сети, такие как SMB, NetBIOS, NetWare Core Protocol или NFS.

SMB работает особенно хорошо в чистом виде через Интернет. Имея высокоскоростной канал, можно просто использовать совместное использование файлов через Интернет без брандмауэров или сконфигу­рировать ваш брандмауэр для передачи трафика 8MB и Kerberos или NetBIOS и разрешить удаленный доступ к службам файлов и печати. Это позволит хакерам предпринять попытку получить доступ к вашим данным, просто предоставив допустимое имя учетной записи и пароль или проведя атаку на протокол и воспользо­вавшись его ошибкой.

6.5.1. Технологии VPN

Виртуальные частные сети (VPN) решают проблему прямого доступа к серверам через Интернет при помощи объединения следующих фун­даментальных компонентов безопасности:

•        IP-инкапсуляция;

•        защищенная аутентификация;

•        шифрование вложенных данных.

Протокол Secure Socket Layer осуществляет шифрование вложенных данных без защищенной аутентификации удаленного пользователя, a Kerberos осуществляет защищенную аутентификацию без шифрования вложенных данных.

IP-инкапсуляция. В идеале, компьюте­ры в каждой локальной сети не должны ничего подозревать о том, что во взаимодействии с компьютерами из других локальных сетей есть что-то особенное. Компьютеры, не входящие в вашу виртуальную сеть, не должны иметь возможность подслушивать трафик между локаль­ными сетями или вставлять в коммуникационный поток свои собствен­ные данные.

IP-пакет может содержать любой вид информации: файлы программ, данные электронных таблиц, звуковые данные или даже другие IP-пакеты. Когда IP-пакет содержит другой IP-пакет, это называется IP-инкапсуляцией (IP encapsulation), IP поверх IP (IP on IP) или IP/IP. Можно инкапсулировать один IP-пакет в другой несколькими спосо­бами; Microsoft делает это двумя различными, но связанными спосо­бами, определенными в протоколах Point-to-Point Tunneling Protocol (РРТР) и Layer 2 Tunneling Protocol (L2TP). Microsoft также поддер­живает IPSec, которому не обязательно использовать инкапсуляцию.

IP-инкапсуля­ция может заставить две удаленные друг от друга сети выглядеть для компьютеров сети соседними, отделенными друг от друга только одним маршрутизатором, хотя на самом деле они будут разделены многими шлюзами и маршрутизаторами Интернета, которые могут даже не ис­пользовать одного адресного пространства, потому что обе внутренние сети применяют трансляцию адресов.

Конечная точка туннеля, будь это маршрутизатор, устройство VPN, или сервер, на котором работает протокол туннелирования, извлечет внутренний пакет, расшифрует его и затем отправит вложенный пакет по его пути назначения во внутренней сети в соответствии со своими правилами маршрутизации.

Передача данных в соединенных по протоколу РРТР локальных сетях начинается и заканчивается точно так же, как это происходит в локаль­ных сетях, соединенных через маршрутизатор. IP-пакетам, однако, при­ходится проходить более дальний путь, поэтому в середине проделы­вается большая работа. С точки зрения двух клиентских компь­ютеров в сети не имеет значения, каким образом пакет был получен одной IP-подсетью от другой. Для вовлеченных в соединение сетевых клиентских компьютеров маршрутизатор означает то же самое, что и два RRAS-сервера и РРТР-соединение.

Защищенная аутентификация. Защищенная аутентификация (cryptographic authentication) используется для безопасного подтверждения личности удаленного пользователя, для того чтобы система смогла опре­делить соответствующий этому пользователю уровень безопасности. Сети VPN применяют защищенную аутентификацию для того, чтобы определить, может ли пользователь участвовать в зашифрованном тун­неле или нет, а также могут применять ее для обмена секретными или от­крытыми ключами, используемыми для шифрования вложенных данных.

Существует много различных видов защищенной аутентификации в двух общих категориях.

•   Шифрование с секретным ключом. Также называется шифрованием с общим секретным ключом (shared secret encryption) или симмет­ричным шифрованием (symmetric encryption), полагается на секрет­ное значение, известное обеим сторонам.

•   Шифрование с открытым ключом. Полагается на обмен однона­правленными ключами (unidirectional keys) - ключами, при помощи которых можно только зашифровать данные. Оконечные системы туннеля могут обмениваться парами открытых ключей для образования двунаправленного канала, или получатель при передаче с открытым ключом может зашифро­вать общий секретный ключ и переслать его отправителю для исполь­зования в будущих коммуникациях (потому что шифрование с се­кретным ключом быстрее, чем шифрование с открытым ключом).

Если хакер перехватит открытый ключ (или ключ для зашифровки), он сможет только зашифровать данные и передать их получателю, но не сможет расшифровать содержание перехваченных данных.

Шифрование вложенных данных. Шифрование вложенных данных (data payload encryption) используется для сокрытия содержания инкапсу­лированных данных при шифровании инкапсулированных IP-пакетов и данных, и внутренняя структура частных сетей сохраняется в секрете. Шифрование вложенных данных может осуществляться при помощи одного из криптографических методов обеспечения безопасности, кото­рые различаются в зависимости от вашего решения VPN.

Страницы: 1, 2, 3, 4, 5