Достоинства безопасности IP
Достоинства безопасности IP
Сетевые атаки могут привести к неработоспособности системы, считыванию конфиденциальных данных и другим дорогостоящим нарушениям. Для защиты информации требуются методы "сильного" шифрования и сертификации, основанные на криптографических алгоритмах. Однако высокий уровень безопасности не должен ухудшать производительность труда пользователей или увеличивать затраты на администрирование.
Безопасность IP в Windows XP обеспечивает следующие преимущества, которые помогают достичь высокого уровня безопасности взаимодействия при низких затратах:
|
| Централизованное администрирование политикой безопасности, что уменьшает затраты на административные издержки |
Политика IPSec может быть создана и назначена на уровне домена (при этом она хранится в Active Directory), что устраняет необходимость индивидуального конфигурирования каждого компьютера. Однако если компьютер имеет уникальные требования, или это автономный компьютер, политика может быть назначена непосредственно. |
|
| Прозрачность безопасности IP для пользователей и прикладных программ |
Не нужно иметь отдельные программные средства безопасности для каждого протокола в стеке TCP/IP, поскольку приложения, использующие TCP/IP, передают данные уровню протокола IP, где они шифруются. Установленная и настроенная служба IPSec прозрачна для пользователя и не требует обучения. |
|
| Гибкость конфигурирования политики безопасности, которая помогает решать задачи в различных конфигурациях |
Внутри каждой политики можно настроить службы безопасности, чтобы обеспечить потребности на всех уровнях, начиная с уровня индивидуального пользователя и заканчивая уровнем серверов или предприятия. Политику можно сконфигурировать в соответствии с экспортными правилами и ограничениями. |
|
| Конфиденциальные службы, предотвращающие попытки несанкционированного доступа к важным данным во время передачи этих данных между поддерживающими связь сторонами. |
|
|
| Туннелирование |
Данные могут быть посланы через безопасные туннели для обмена информацией в Интернете и корпоративных сетях. |
|
| Усиленная служба аутентификации, которая предотвращает перехват данных путем подмены идентификаторов. |
|
|
| Ключи большой длины и динамический повторный обмен ключами в течение текущих сеансов связи, что помогает защитить соединение против атак. |
|
|
| Безопасная связь от начала до конца для частных пользователей сети внутри одного и того же домена или через любой доверенный (trusted) домен внутри корпоративной сети. |
|
|
| Безопасная связь между пользователями в любом домене корпоративной сети, основанной на протоколе IP. |
|
|
| Отраслевой стандарт IPSec открыт для реализации других технологий шифрования IP, что позволяет взаимодействовать с другими платформами и продуктами. |
|
|
| Сертификаты с открытым ключом и поддержка ключей pre-shared |
Это требуется для разрешения установления безопасной связи с компьютерами, которые не являются частью доверенного домена. |
|
| IPSec работает во взаимодействии с другими механизмами защиты, сетевыми протоколами и базовыми механизмами безопасности Windows XP, |
|
|
| Поддерживается шифрование сообщений RSVP для реализации QoS и ACS в Windows XP, т. е. IPSec не мешает использовать все преимущества приоритетного управления шириной полосы пропускания, обеспечиваемые этими службами. |
|
/p>
Возможности стандарта IPSec и подробности реализации очень сложны и описаны подробно в ряде RFC и проектов IETF, а также в документах Microsoft. IPSec использует криптографическую защиту для обеспечения управления доступом, целостности без установления логического соединения, удостоверения подлинности данных, защиты от повторного использования, полной и ограниченной конфиденциальности потока данных. Поскольку протокол IPSec работает на уровне IP, его услуги доступны протоколам верхнего уровня в стеке и, очевидно, существующим приложениям. IPSec дает системе возможность выбрать протоколы защиты, решить, какой (какие) алгоритм(ы) использовать для служб(ы), а также устанавливать и поддерживать криптографические ключи для каждой защищенной связи.
IPSec может защищать пути между компьютерами, между шлюзами защиты или между шлюзами защиты и компьютерами. Услуги, доступные и требуемые для трафика, настраиваются с использованием политики IPSec. Политика IPSec может быть настроена локально на отдельном компьютере. или может быть назначена через механизмы групповой политики Windows XP в Active Directory. Политика IPSec определяет, как компьютеры доверяют друг другу. Самое простое — полагаться на применение доменов доверия Windows XP, основанных на протоколе Kerberos. Для того чтобы доверять компьютерам в том же самом или в другом доверенном домене Windows XP, задается предопределенная политика IPSec.
Каждая датаграмма на уровне протокола IP сравнивается с набором фильтров, предоставляемых политикой безопасности, которая поддерживается администратором для компьютера, пользователя, организационной единицы (OU) или всего домена. С любой датаграммой службы IP могут выполнить одно из трех действий:
| |
Передать на обработку службам IPSec |
| |
Передать ее без изменений |
| |
Игнорировать ее |
Например, в очень простом случае два автономных компьютера могут быть сконфигурированы для использования IPSec между ними в одном и том же домене Windows XP и активизации политики "закрытости" (lockdown). Если два компьютера — не элементы одного и того же или доверенного домена, то доверие должно быть сконфигурировано с использованием пароля или ключа pre-shared в режиме "закрытый":
| |
Установка фильтра, который определяет весь трафик между двумя компьютерами. |
| |
Выбор метода опознавания (выбор ключа pre-shared или ввод пароля). |
| |
Выбор политики переговоров (в режиме "закрытый", при этом весь трафик, соответствующий фильтру (фильтрам), должен использовать IPSec). |
| |
Определение типа подключения (ЛВС, коммутируемое соединение или оба типа подключения). |
Когда IPSec применяется для шифрования данных, производительность сети понижается из-за непроизводительных затрат на обработку и шифрование. Один из возможных методов уменьшения воздействия этих непроизводительных затрат — обработка на аппаратном уровне. Поскольку NDIS 5.0 поддерживает такую функцию, можно включить аппаратные средства шифрования в сетевой адаптер. Адаптер, обеспечивающий перегрузку IPSec на аппаратные средства, скоро представят на рынке несколько поставщиков аппаратного обеспечения.
Протокол IPSec обещает быть очень популярным для защиты и корпоративного трафика, и внутреннего общего трафика, который требует конфиденциальности. Одним из вариантов реализации может быть применение политики "закрытости" протокола IPSec только к специфическим серверам, которые предназначены для сохранения и/или обслуживания конфиденциальной информации.
