Windows - Gyakorlati megvalósítás - Biztonsági házirendek

IPSecurity 2. rész

Az IP protokoll titkosított, biztonságos kommunikációra használható megfelelőjéről szóló cikksorozatunk jelen részében a kapcsolatok gerincét képező biztonsági házirendek részletes tárgyalását kezdjük el. Az IPSec protokollt a Windows 2000-et futtató gépeken nem kell külön telepíteni, a TCP/IP protokollal együtt kerül be a rendszerbe. Eltávolítása is csak a TCP/IP-vel együtt lehetséges.
Beállításai csoportházirendben vannak leírva. Active Directory tartomány esetén a központ csoportházirend által jut érvényre és az Active Directory adatbázisában tárolódik. Tartomány nélküli hálózatokban a csoportházirend Helyi biztonsági házirendje határozza meg és a rendszerleíró adatbázisban tárolódik. A beállítások elvégzéséhez rendszergazdai jogokra van szükség. Önmagában az IPSec használatát nem befolyásolja, nem kötődik a felhasználóhoz, a bejelentkezési hitelesítési eljáráshoz, a hálózat felépítéséhez (Peer To Peer, Active Directory tartomány, munkacsoport, stb.) és az alkalmazásokhoz (nincs szükség IPSec támogatásra az alkalmazásokban).


Az IPSec beállításainak elérése tartományvezérlőkön:

Nyissuk meg a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek konzolt. Válasszuk ki azt a szervezeti egységet, amelyen belül érvényesíteni akarjuk a biztonsági beállításokat. Kattintsunk rá a jobb oldali egérgombbal és válasszuk a "Tulajdonságok" menüt, majd a "Csoportházirend" oldalt. Itt vannak felsorolva a szervezeti egységre vonatkozó házirendek (alapesetben csak egy). Kattintsunk a "Szerkesztés" gombra, ennek hatására megjelenik a képernyőn egy MMC konzolban az adott házirendre vonatkozó minden beállítás. Nekünk a Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > IP - biztonsági házirendek - Active Directory elemig kell eltallóznunk.
Ha rákattintunk, az ablak jobb oldalán megjelenik három előre elkészített házirend: Ügyfél (Client), Biztonságos kiszolgáló (Secure Server) és Kiszolgáló (Server). Windows 2000 Professional rendszerekbe is ugyanezek a modulok vannak beépítve.

Ügyfél (Client):
Alapértelmezésben hagyományos, nem titkosított IP kommunikációt folytat, de ha egy kiszolgáló megköveteli az IPSec használatát, akkor képes ennek eleget tenni.

Kiszolgáló (Server):
Alapértelmezésben titkosítva próbál kommunikálni, de lehetőséget ad a titkosítás nélküli adatáramlásnak is.

Biztonságos kiszolgáló (Secure Server):
Mindig titkosítva kommunikál, az IPSec-et nem ismerő rendszerekkel nem létesít kapcsolatot, ezekről a helyekről érkező minden kérést elutasít.

Az IPSec beállításainak elérése munkaállomásokon:

Munkaállomás alatt most a Windows 2000 Professional-t futtató, nem Active Directory tartományhoz kapcsolódó gépeket értjük. Ezeken a beállítások a Vezérlőpult > Felügyeleti eszközök > Helyi biztonsági házirend > IP - biztonsági házirendek - Helyi számítógép menüpont alatt érhetők el, ugyanazokkal az előre gyártott házirendekkel, mint a tartományvezérlők esetében. Amennyiben a munkaállomás egy Active Directory tartományi tag, a központi csoportházirend beállításai vonatkoznak rá.

Az IPSec házirend aktivizálása:

Válasszuk ki az igényeinknek megfelelő sablont és kattintsunk rá, utána pedig a Művelet > Kijelölés menüpontjára (ezt érjük el akkor is, ha jobb oldali egérgombbal kattintunk a házirenden és megjelenő menüben választjuk ki a "Kijelölés" pontot). A "Házirend kijelölve" oszlopban az adott objektum mellett megjelenik az "Igen" jelzés. Mindig csak egy házirendet jelölhetünk ki, egy másik kijelölésekor megszűnik az előző jelzése.
Az Active Directory csoportházirend bizonyos időközönként töltődik újra, a változások ekkor lépnek életbe (erre még visszatérünk), ha újraindítjuk a gépet természetesen már az új beállítások lesznek érvényesek.

Az IPSec házirend érvénytelenítése:

Visszaállhatunk a titkosítás nélküli kommunikációra úgy, hogy az eddig érvényes házirendet visszavonjuk. Ehhez kattintsunk rá, majd a Művelet > Kijelölés megszüntetése menüpontra. Ha a "Házirend kijelölve" oszlopban mindenhol a "Nem" szót látjuk, biztosak lehetünk benne, hogy a kommunikáció a hagyományos IP protokollal zajlik.

A házirend beállítások részletei:

Megtekinthetjük a házirendet felépítő beállításokat a nevére kattintva a jobb oldali egérgombbal és a "Tulajdonságok" menü kiválasztásával.
Két kiindulási oldal jelenik meg: "Szabályok" és "Általános".

Szabályok:
Az IPSec házirend úgynevezett szabályokból épül fel. Ezekhez vehetünk fel újat, szerkeszthetjük vagy eltávolíthatjuk őket. Felépítésüket a "Szerkesztés" gombra kattintva tehetjük láthatóvá, miután kiválasztottunk közülük egyet:

"IP-szűrőlista":
Itt azt állíthatjuk, hogy mely forráscímtől mely célcímig, milyen protokollra vonatkozzanak a beállítások. Egy szűrőlista több szűrőt is tartalmazhat, ezzel a módszerrel nagyon pontosan leírható a hálózati forgalom minden részlete.
A "Hozzáadás" gombbal vehetünk fel új szűrőlistát, kattintsunk rá. A "Név" mezőben adhatunk nevet neki, a "Leírás" szövegdobozban pedig röviden jellemezhetjük, megkönnyítve a későbbi beazonosítását. Itt is találunk egy "Hozzáadás" gombot, amellyel felvehetjük az új szűrőket. A felvételt elvégezhetjük egy varázsló segítségével is - ekkor bejelölve kell hagyni a "Hozzáadás varázsló" előtti jelölőnégyzetet - vagy elvégezhetjük kézzel is. Válasszuk a kézi módszert, ha nem akarjuk, hogy bizonyos beállítások rejtve maradjanak előttünk. Az IPSec használatának beállításait a forrás és a cél szintjén is meg lehet határozni. Mindkettő lehet IP cím, DNS név vagy akár egy teljes alhálózat is.
A "Protokoll" oldalon az előbb beállított útvonalhoz tartozó TCP/IP protokoll bármely alprotokollját felvehetjük a szűrőbe. A TCP és UDP protokollok kiválasztása esetén aktivizálódik az "Állítsa be az IP protokoll portját" szekció és ekkor azt is megadhatjuk, hogy milyen küldő és fogadó portokon akarjuk érvényesíteni a beállításokat. Minden protokollhoz tartozik egy azonosító szám, ezt látjuk a neve alatti mezőben. Lehetséges felvenni a szűrőbe nem TCP/IP összetevőt is az "Egyéb" kiválasztásával, ilyenkor aktivizálódik az az azonosító ablak, ahová a protokollhoz tartozó azonosító számot kell beírni.
A harmadik - "Leírás" oldalon fűzhetünk hozzá egy szöveget a szűrőhöz. Ha végeztünk a beállításokkal, kattintsunk az "OK" gombra és az újonnan elkészített szűrőnk megjelenik a "Szűrők" listájában. Később más szűrő listákban is tudjuk használni.

"Szűrőművelet":
Itt állítható be, hogy a szűrő használjon-e IP titkosítást, ha igen milyen módon, milyen biztonsági szint alkalmazásával. Három biztonsági szintet különböztetünk meg: Magas (ESP), Közepes (AH), egyéni. A meglévő listához ismét a "Hozzáadás" gombbal vehetünk fel új elemet. Az alábbi három forgalmi beállítás közül választhatunk:
"Engedélyezés" - Engedélyezi az IPSec használata nélküli kommunikációt mindkét irányba.
"Letiltás" - A feltételeknek megfelelő csomagot a rendszer eldobja, nem veszi figyelembe akár titkosítva, akár titkosítás nélkül érkeztek.
"Biztonsági szint egyeztetése" - Egyéni beállításokat tudunk alkalmazni a biztonsági szintek beállításával. A megadott módszereket sorba kell rendezni. A lista tetején állót próbálja a rendszer alkalmazni először, ha ez nem megy, a sorban utána következővel folytatja. Ha egyiket sem tudja érvényesíteni, nem jön létre a kapcsolat. A lista elemeit a "Fel", "Le" gombokra kattintva tudjuk mozgatni.
Új biztonsági módszert a "Hozzáadás" gombbal lehet felvenni. Ez lehet ESP, AH vagy egyéni beállítás is. Az utóbbi alkalmazásával az előző kettő részleteit is szerkeszthetjük. Úgy mint integrálási és titkosítási algoritmusok és a kulcsok élettartamának előírása. A kiválasztható integrálási algoritmusok közül az MD5 128 az SHA pedig 160 bit hosszúságú kulcsot használ. A titkosítási algoritmusok közül a 3DES jelenti az erősebb, a DES pedig a gyengébb titkosítást, de a 3DES-t nem tudjuk mindenhol használni, mert előfordulhat, hogy a kliensek nem fogják megérteni (az USA-ban és Kanadában igen, ott ez alapkövetelmény). A kulcsok élettartamára vonatkozóan állítható, hogy egy bizonyos átvitt adatmennyiség után ("Új kulcs generálása minden X kbájt után") vagy egy adott idő eltelte után ("Új kulcs generálása minden X másodpercben") váljon szükségessé új kulcs generálása (egy kulcs csak egyszer kerül felhasználásra).

"Kapcsolat típusa":
Itt választhatjuk ki, hogy az adott szabály milyen típusú hálózati kapcsolatokra vonatkozik. Három választási lehetőségünk van függetlenül attól, hogy milyen protokollok és rendszerszolgáltatások vannak feltelepítve: A szabály csak a helyi hálózati, távelérési vagy mindkét forgalomra vonatkozik.

"Bújtatási beállítások":
A bújtatás során két gép úgy kommunikál egymással, hogy a küldendő adatcsomag beágyazódik egy új csomagba, ez átvitelre kerül a hálózaton, a fogadó pedig kicsomagolja és értelmezi az adatokat. Úgy szokták jellemezni az eljárást, hogy olyan, mintha a hálózaton egy alagút képződne, két végén a küldő és fogadó géppel (ezért is hívják Tunnel módnak). Mások számára nem hozzáférhető így az információ, ezért nem biztonságos közegben (Internet) is létrehozható két gép között biztonságos kapcsolat.
Hasonló elven működik a VPN (Virtuális magánhálózat) kapcsolat is, de vannak olyan átjárók és útválasztók, amelyek nem támogatják. Ebben az esetben használható az IPSec bújtatás, ezt gyakorlatilag minden hálózati elem képes továbbítani.
A bújtatás alapvető feltétele a cél IP címének ismerete. Nem feltétel viszont az, hogy a cél ténylegesen az a gép legyen, amelyiknek az adatokat szánjuk. Továbbíthatjuk úgy is az adatokat, hogy azok bújtatva csak a célgép alhálózatának útválasztójáig menjenek, ha innen a célgépig már biztonságosnak nevezhető a kapcsolat.
"A bújtatás végpontját a következő IP-cím írja le" előtti rádiógomb kiválasztásával és a végpont IP címének megadásával hozhatunk létre IP bújtatást használó házirendet.

"Hitelesítési módszerek":
Több hitelesítési módszer is előírható a kommunikációban résztvevő felek azonosítására. A lista tetején állóval kezdve történnek a próbálkozások, amíg nem sikerül egy közös módszert találni. Az elemek sorrendjét szintén a "Fel", "Le" gombokkal lehet változtatni. A "Hozzáadás" gombbal lehet felvenni új eljárásokat.
Ezek a következők lehetnek:
"Windows 2000 alapértelmezett (Kerberos V5 protokoll)": Windows 2000-es hálózatokban a biztonságos Kerberos protokoll használata a legtöbb esetben elégséges, meghatalmazott tartományok esetén is működik.
"A következő hitelesítő szervezet (CA) bizonyítványainak használata": Úgynevezett hitelesítő szervezetektől lehetséges igényelni (vásárolni) nyilvános kulcsú titkosítási eljáráson alapuló hitelességi bizonyítványt. Ezt a Windows 2000 bizonyítvány szolgáltatásával be lehet építeni az Active Directory-ba és utána ennek a menüpontnak a használatával ezt érvényesíteni az IPSec házirendben (és más tartománnyal kapcsolatos egyéb hitelesítési eljárást igénylő funkciónál is).
"A következő karakterlánc védje a kulcscserét (előmegosztott kulcs)":
Mi adhatunk meg egy karakterláncot a hitelesítés lefolytatásához. A módszer nem nevezhető biztonságosnak, mert a kulcs az IPSec házirendben titkosítás nélkül olvasható formában tárolódik. Olyan helyeken alkalmazható, ahol a normál IP forgalom titkosítást igényel, de nincs szükség bizonyítványok használatára, a Kerberos protokollt pedig nem lehet használni, mert a célrendszer nem ismeri.

Zárjuk be az ablakot és térjünk vissza a házirend tulajdonságaihoz: az "IP-biztonsági szabályok" listában találunk egy "<Dinamikus>" szűrőt is. Erről annyit érdemes tudni, hogy minden IPSec házirendben jelen van és nem távolítható el, feladata a kommunikációban résztvevő gépek közötti alapvető kapcsolat kiépítése, ha megnézzük a tulajdonságait a "Szerkesztés" gomb segítségével, akkor a fent megismert ablakok közül találkozunk a három legalapvetőbbel (biztonsági és hitelesítési módszerek, illetve a kapcsolat típusa).

Az "Általános" oldalon nevet és egy leírást rendelhetünk a házirendhez és van itt még egy fontos beállítás is: ez pedig a "Házirendváltozások keresése miden X percben". Alapértelmezett érték a 180 percenkénti ellenőrzés. Miután módosításokat végeztünk valamelyik házirendben, mindig vegyük figyelembe, hogy a változtatások nem lépnek azonnal életbe: az operációs rendszer újraindításakor vagy ennek az időnek az elteltekor jutnak csak érvényre.
Találunk még itt egy "Speciális" nyomógombot is, ahol a főkulcsok periodikus újra generálása adható meg egy bizonyos idő vagy kapcsolatszám eltelte után.

Szűrők be- és kikapcsolása:

A szűrőlistában minden szűrő előtt találunk egy jelölőnégyzetet, amelyiknél be van kapcsolva: az a szűrő aktív; amelyiknél nincs: az nem vesz részt a házirend felépítésében.
Az alapvető szűrő ("<Dinamikus>") nem távolítható el, de kikapcsolható, ha kivesszük a jelölését - így tulajdonképpen az adott házirend számára nem is létezik.


IPSecurity cikksorozat

IPSecurity alapjai - IPSecurity 1. rész

Gyakorlati megvalósítás - Biztonsági házirendek - IPSecurity 2. rész

Gyakorlati megvalósítás, tesztelés - IPSecurity 3. rész