Разграничение доступа к информационным сетям с помощью групповых политик и IPSec

Содержание Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям

Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям

Защита сетевых коммуникаций: основные требования Основные требования по обеспечению безопасности сетевых коммуникаций: Предотвращение модификации данных при передаче Предотвращение чтения и интерпретации данных при передаче Защита данных от неавторизованных пользователей Защита данных от перехвата и подмены Предотвращение модификации данных при передаче Предотвращение чтения и интерпретации данных при передаче Защита данных от неавторизованных пользователей Защита данных от перехвата и подмены

Что такое Internet Protocol Security? Преимущества IPSec: Прозрачен для пользователей и приложений Обеспечивает строго ограниченный доступ к серверам Настраиваемые параметры безопасности Централизованное управление через Active Directory Прозрачен для пользователей и приложений Обеспечивает строго ограниченный доступ к серверам Настраиваемые параметры безопасности Централизованное управление через Active Directory IPSec: Набор открытых стандартов по обеспечению безопасности IP-коммуникаций на основе криптографических методов

Режимы работы IPSec IPSec поддерживает два режима работы: Используется для защиты host-to-host коммуникаций Транспорт- ный Используется для защиты трафика между узлом и сетью или между сетями Туннель- ный

Транспортный режим End-to-End Host Security Server Isolation

Туннельный режим Организация VPN Туннель IPSec Шлюз IPSec Клиент Windows XP FTP-сервер Сайт B Сайт A Шлюз IPSec

Принцип работы IPSec TCP Layer IPSec Driver TCP Layer IPSec Driver Защищенные пакеты 3 3 Internet Key Exchange (IKE) 2 2 Политика 1 1 Active Directory

Структура политики IPSec Политика IPSec Правила IP filter lists Список фильтров IP filter lists Действия фильтра IP-фильтры Применяется на уровне сайта, домена или подразделения

Демонстрация 1: Конфигурация и назначение политики IPSec Сконфигурировать и назначить политику протокола IPSec

Использование IPSec для разграничения доступа к сетям Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям

Что означает разграничение доступа к сетям? Преимущества защиты на уровне логической изоляции данных: Дополнительный уровень безопасности Контроль доступа к определенной информации Предоставление доступа доверенным системам Защита от вредоносных программ Механизм шифрования передаваемых данных Дополнительный уровень безопасности Контроль доступа к определенной информации Предоставление доступа доверенным системам Защита от вредоносных программ Механизм шифрования передаваемых данных Разграничение доступа к сетям: Возможность разрешить или запретить определенные типы сетевого доступа между компьютерами из одной IP-подсети

Доверенные компьютеры Доверенный компьютер: Управляемое устройство, отвечающее минимальным требованиям безопасности Ненадежный компьютер: Устройство, не отвечающее минимальным требованиям безопасности в силу неуправляемости или отсутствия централизованного контроля

Цели, достигаемые разграничением доступа к сетям Разграничение доступа к сетям поможет достичь следующих целей: Изолировать доверенные компьютеры домена от ненадежных устройств на сетевом уровне Гарантировать доступ к доверенным системам только устройствам, удовлетворяющим требованиям безопасности Обеспечить обработку входящего трафика только от строго определенных групп доверенных компьютеров Сфокусировать и приоритезировать проактивный мониторинг Сконцентрировать усилия на доверенных системах, к которым необходим доступ с ненадежных устройств Ускорить процессы восстановления после атак Изолировать доверенные компьютеры домена от ненадежных устройств на сетевом уровне Гарантировать доступ к доверенным системам только устройствам, удовлетворяющим требованиям безопасности Обеспечить обработку входящего трафика только от строго определенных групп доверенных компьютеров Сфокусировать и приоритезировать проактивный мониторинг Сконцентрировать усилия на доверенных системах, к которым необходим доступ с ненадежных устройств Ускорить процессы восстановления после атак

Неизбежные риски Проблемы, которые не решаются логической изоляцией: Доверенные пользователи раскрывают данные Компрометация учетных данных пользователей Доступ между ненадежными компьютерами Злоупотребление доверенных пользователей своим доверенным статусом Ошибки в системах безопасности доверенных компьютеров Компрометация доверенных систем другими доверенными системами Доверенные пользователи раскрывают данные Компрометация учетных данных пользователей Доступ между ненадежными компьютерами Злоупотребление доверенных пользователей своим доверенным статусом Ошибки в системах безопасности доверенных компьютеров Компрометация доверенных систем другими доверенными системами

Разграничение доступа к сетям и уровни сетевой безопасности Политики и процедуры Физическая защита Приложения Компьютер Внутренняя сеть Периметр Данные Логическая изоляция данных

Реализация разграничения доступа к сетям Основные компоненты решения: Компьютеры, соответствующие минимальным требованиям безопасности Доверенные узлы Использование IPSec для аутентификации и шифрования данных Аутентифика- ция узла Членство в группах и списки управления доступом Авторизация узла

Контроль доступа с применением IPSec и групп сетевого доступа (NAG) Логическая изоляций данных Взаимодействие на уровне компьютеров (IPSec) Права доступа к узлу IPSec Policy 2 2 Права доступа к папке Group Policy Dept_Computers NAG Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec

Контроль доступа с применением групп сетевого доступа (NAG) Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec Шаг 4: Проверка прав доступа к узлу Шаг 5: Проверка прав доступа к папке Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec Шаг 4: Проверка прав доступа к узлу Шаг 5: Проверка прав доступа к папке Логическая изоляций данных Взаимодействие на уровне компьютеров (IPSec) Права доступа к узлу IPSec Policy Group Policy Dept_Computers NAG 4 4 Dept_Users NAG Права доступа к папке 5 5

Демонстрация 2: Применение групп сетевого доступа Конфигурация групп сетевого доступа для повышения безопасности

Сценарии разграничения доступа к сетям Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям

Проектирование разграничения доступа к информационным сетям Процесс проектирования включает в себя: Проектирование основных групп Создание списков исключений Планирование групп компьютеров и NAG Создание дополнительных групп изоляций Моделирование трафика Настройка членства в группах компьютеров и NAG Проектирование основных групп Создание списков исключений Планирование групп компьютеров и NAG Создание дополнительных групп изоляций Моделирование трафика Настройка членства в группах компьютеров и NAG

Проектирование основных групп Ненадежные системы Изолированный домен Граничная группа

Создание списков исключений Причины занесения узла в список исключений: Узел, не поддерживающий IPSec, должен быть доступен для доверенных систем На узле запущено приложение, некорректно работающее при включении IPSec На узле наблюдаются проблемы с производительностью Узел является контроллером домена Узел, не поддерживающий IPSec, должен быть доступен для доверенных систем На узле запущено приложение, некорректно работающее при включении IPSec На узле наблюдаются проблемы с производительностью Узел является контроллером домена

Планирование групп компьютеров и NAG Группы компьютеров: Содержат членов из одной группы изоляции Используются в GPO для настройки заданных параметров безопасности Содержат членов из одной группы изоляции Используются в GPO для настройки заданных параметров безопасности Группы сетевого доступа: Бывают двух типов: «Разрешить», «Запретить» Используются в GPO для предоставления или запрета доступа Бывают двух типов: «Разрешить», «Запретить» Используются в GPO для предоставления или запрета доступа

Создание дополнительных групп изоляции Возможные причины создания дополнительных групп: Требования к шифрованию Альтернативные требования к сетевому трафику Требования ограниченного доступа для компьютера или пользователя Требования к шифрованию Альтернативные требования к сетевому трафику Требования ограниченного доступа для компьютера или пользователя Изолированный домен Граничная группа Изоляция с шифрованием Спец. требования Ненадежные системы

Моделирование трафика Доверенные устройства Изолированный домен Граничная группа Ненадежные устройства Списки исключений IPSec Нешифрованный трафик

Настройка членства в группах компьютеров и NAG На последнем этапе определяется членство в созданных группах: Поместите компьютеры в группы, основываясь на требованиях к свойствам соединения Членство в группах компьютеров Поместите пользователей и компьютеры в группы в соответствии с требуемыми разрешениями Членство в NAG

Демонстрация 3: Применение групп изоляций Применить изоляцию, используя компьютерные группы безопасности

Дополнительные вопросы Дополнительно необходимо учесть: Максимальное количество одновременных IPSec- соединений (для серверов) Максимальный размер маркера доступа для узлов, использующих IPSec Максимальное количество одновременных IPSec- соединений (для серверов) Максимальный размер маркера доступа для узлов, использующих IPSec

Предварительный анализ Перед внедрением логической изоляции данных следует проанализировать: Наиболее интенсивно используемые устройства Несовместимые устройства Схему IP-адресации Изолируемые компьютеры Изолируемые службы Использование сетевой балансировки и кластеров Наиболее интенсивно используемые устройства Несовместимые устройства Схему IP-адресации Изолируемые компьютеры Изолируемые службы Использование сетевой балансировки и кластеров

Итоги Внедряйте IPSec для аутентификации устройств и шифрования трафика Используйте для логической изоляции IPSec в сочетании с групповыми политиками и группами Используйте граничные зоны в качестве отправной точки при внедрении групп изоляций на базе IPSec Применяйте дополнительные группы для изоляции ресурсов и обеспечения требуемой конфигурации

Дополнительная информация Мероприятия Microsoft по безопасности: Подписка на информационный бюллетень по безопасности: Дополнительные утилиты и материалы: Дополнительные курсы:

Вопросы и ответы