Раздел: Документация

0 ... 42 43 44 45 46 47 48 ... 136

Политика согласования

Это именованный набор методов зашиты. У каждою правила может быть одна активная политика согласованияспичи. Если компьютера не могут выбрать о(nuiii

метод защиты, политику сои;аеоианим стоит настроить для отказа от связи с другим компьютером или для пересылки данных без шифрования.

Поскольку iPSee ис затрагивает исходный заголовок IP. зашифрованные пакеты считаются обычным IP-трафиком и маршрутизируются соответствующим образом. Это верно для режимов как транспортировки, так и туннелирования.

ESP и маршрутизаторы

ESP не шифрует и но аукчггифппирует заголовок оставляя его неискаженным. Д же в туннельном режиме, когда первоначальный заголовок IP шифруется, маршрутизация не создаст проблем. Для члршрути киши пакета между конечными точками туннеля применяется новый туннельный заголовок IP (оставляемый неискаженным). По достижении точки-адресата пакетаутентифицируется и расшифровывается. Исходный IP-пакедоставляется конечному адресату без аутентификации или шифрования IPSec. АН и маршрутизаторы

На основе всех полей заголовка I Р-и.же iа протокол АН создает коптрачФое значение це-.юстиости (integrity check value, ICV).

Поскольку при пересылке пакетов маршрутизаторы корректируют поляIP,

это может выдавать определенные проблемы. Тем не менее поди, которые могут быть изменены, для вычисления ICV обнуляются. Таким образом, маршрутизаторы иногда изменяют непостоянные поля (времяконтрольная сумма и т. д.), не влияя на вычисление ICV. На компьютере-получателе протокол IPSec снова обнуляет изменяемые поля и затем вычисляет контрольную сумму целостности.

Это также в<ч>чо и для туннельного режима, когда для вычисления ICV иеподь густея

новый туннельный заголовок IP, а переменные поля обнуляются. На конечном компьютере

хеш проверяется, и исходный пакет 1Р пересылается без дальнейшей аутентификации.

IPSec и брандмауэры

Любые маршрутизаторы или коммутаторы на пути данных между еообшаюшичио компьютерами лишь переправляют зашифрованные и/или аутентифииированные IP-пакеты к месту назначения. Тем не менее при наличии брандмауэра илимаршру-

тизатора необходимо разрешить перенаправлениедля:

•протокола IP с идентификатором 51 - для пропуска АН-трафика требуется задать фильтрыи выхода;

•протокола сидспгифиюгп1)>ом 50 — для пропуска LSP- графика требуется задать фильтры входа и выхода;

•порта номер 500 протокола . для пропуска 1$лКМР-т;>лфикл требуется «оагь фильтры входа и выхода.

Помните, что указанные фильтры необходимо определятьдля пропуска трафика ггротоко-ла IPSec брандмауэр только при использовании транспортного режима или в если брандмауэр находится на открытой стороне туннельного сервера. IPSec нельзя попользовать таким образом, чтобы брандмауэр применял данный протокол ко всем входящим и исходящим пакетам. Маршрутизатору потребуется создать и поддерживать все SA, спя аниые с каждым подключением.

---

Примечание Стандартное фильтрование трафика брандмауэром (фильтрование по портам TCP или LDP) неприменимо к трафику ESP, поскольку номера портов шифруются.

IPSec, NAT и прокси-серверы

IPSec невозможно использовать через NAT или прикладной прокси-сервер. Хотя заголовок IP не изменяется, шифрование и аутентификация не позволяют вносить изменения в яругнс поля пакета.

NAT

Далее обсуждается, почему протокол IPSec не работает через NAT.

Невозможность различать множественные потоки данных IPSec

Заголовок ESP содержит индекс параметров защиты (security parameters index, SPI). Этот индекс используется вместе с адресом назначения IP. присутствующим в стандартных заголовках IP и IPSec, для идентификации сопоставления безопасности IPSec.

В исходящем трафике со шлюза NAT конечный IP-адрес не меняется; тем не менее изменяется исходный IP-адрес. Во входящем трафике на шлюз NAT исходный IP-адрес должен быть привязан к частному I Р-ыдрссу. Для корректной работы IPSec также должен быть привязан SPI. Хотя такую привя щу и можно осуществить, это потребует корректировки поля индекса параметров защиты. Если поле SPI изменится, ICV станет недостоверным.

Это справедливо и для АН, поскольку индекс параметров зашиты является частью АН и применяется для вычисления ICV.

Невозможность изменять контрольные суммы TCP и UDP

Заголовки и TCP содержат контрольную сумму, включающую исходный и конечный IP-адреса стандартного заголовка IP. Изменение адресов в стандартном заголовке IP сделает недействительной контрольную сумма в заголовках TCP и U DP. Таким образом, NAT не может обновлять заголовки UDP и TCP, поскольку они находятся в зашифрованной части ESP или используются при вычислении ICV.

Прикладные прокси-серверы

Работают на прикладном уровне, поэтому должны поддерживать IPSec и иметь согласование безопасности для каждого клиента IPSec. Это, безусловно, нерационально и не обеспечивается прикладными прокси-серверами.

Прочие рекомендации по настройке IPSec

Здесь приводятся дополнительныепо настройке IPSec, включая

ные коммуникации с использованием SNMP и управление службами сервера, такими, как

DNS и WINS.

Защита SNMP

Все системы с поддержкой SNMP необходимо сконфигурировать для использования IPSec. Как минимум вам следует настроить политику IPSec таким образом, чтобы она допускала незащищенные коммуникации, если на всех компьютерах с поддержкой SNMP включить поддержку IPSec. В противном случае при установлении защищенного соединения произойдет сбой, и обмен сообщениями SNMP не будет осуществлен.

---

IPSec не шифрует протокол SNMP автоматически. Единственное исключение — предопределенные политики Secure Initiator и Lockdown, настроенные для автоматической защиты трафика SNMP. Чтобы защитить трафик протокола SNMP, добавьте на компьютере с поддержкой SNMP к новой или имеющейся политике две пары фильтров.

Первая пара предназначается для типичного трафика SNMP (сообщения SNMP) и состоит из одной спецификации фильтра входа и одной спецификации фильтра выхода,

• На вкладке Addressing (Адресация) диалогового окна свойств фильтра

1.С помощью списка Source address (Адрес источника пакетов) задайте IP-адрес системы управления SNMP.

2.В списке Destination address (Адрес назначения пакетов) выберите My IP Address 1 Мой IP-адрес) - этот адрес будет преобразован в IP-адрес компьютера, которому назначена политика (агент SNMP).

3.Пометьте флажок Mirrored (Отраженный) для автоматического создания фильтра выхода.

►На вкладке Protocol (Протокол) диалогового окна свойств фильтра

1.Выберите тип протокола - TCP или VDP (если необходимы оба протокола, создайте дополнительную спецификацию фильтра).

2.В полях From This Port (Пакеты из этого порта) и То This Port (Пакеты на этот порт) введите 161.

Второй набор спецификаций фильтров предназначается для ообшений-ловушек SNMP и включает одну спецификацию входящего фильтра входа и одну спецификацию исходящего фильтра.

►На вкладке Addressing

). С помощью списка Source address укажите IP-адрес системы управления SNMP.

2.В списке Destination address выберите My IP Address - этот адрес будет преобразован в IP-адрес компьютера, которому назначена политика (агент SNMP).

3.Пометьте флажок Mirrored для автоматического создания фильтра выхода.

►На вкладке Protocol

1.Выберите тип протокола - TCP или UDP (если необходимы оба протокола, Создайте дополнительную спецификацию фильтра).

2.В полях From This Port и То This Port введите 162.

Система управления или консоль SNMP должны также поддерживать IPSec. Служба SNMP в Windows 2000 поддерживает, но в настоящий момент не включает в себя программное обеспечение для управления протоколом SNMP. Для защиты трафика SNMP с помощью IPSec ПО сторонних фирм для управления SNMP должно поддерживать iPSec.

Серверы DHCP, DNS и WINS или контроллеры домена

При включении протокола IPSecсерверах, где выполняются указанные службы,

определите, все ли клиенты поддерживают IPSec. Убедитесь в совместимости по пггик, особенно в совместимости параметров аутентификации и согласования. В противном случае согласование безопасности может пройти неудачно, и клиентам не удастся обращаться к сетевым ресурсам. Когда DNS не поддерживает IPSec

Чтобы в списке фильтров IP можно было указывать DNS-имя компьютера, а не его IP-адрес, в случае если серверы DNS не поддерживают IPSec, необходимо специальным об-

0 ... 42 43 44 45 46 47 48 ... 136