9Протокол ipSec в Window 2000.

Необходимость в обеспечении безопасности сетей на основе протокола IP постоянно возрастает. В современном, сильно связанном мире бизнеса при наличии Интернета, интрасетей, дочерних отделений и удаленного доступа критически важная информация постоянно перемещается через границы сетей. Задача сетевых администраторов и других специалистов информационных служб состоит в том, чтобы этот трафик не допускал:

• модификацию данных во время их передачи по каналам,

• перехват, просмотр или копирование,

• доступ к данным со стороны не авторизованных пользователей.

Указанные проблемы известны как обеспечение целостности данных, конфиденциальности и аутентификации. Кроме того, необходима защита от воспроизведения информации.

Протокол IPSec, разработанный группой IETF, поддерживает аутентификацию, целостность данных и их шифрование на сетевом уровне.

Для обеспечения безопасности всех передач по протоколу TCP/IP в протоколе IP Security использованы принятые в качестве отраслевых стандартов алгоритмы шифрования и комплексный подход к управлению безопасностью. Используя Windows 2000 Server, администраторы сетей обеспечивают сильную защиту для всей сети в целом, а приложения автоматически наследуют средства защиты от системы безопасности Windows 2000 Server. Основные черты IPSec:

• Открытый промышленный стандарт – IPSec представляет собой открытый промышленный стандарт, в отличие от «доморощенных» способов шифрования IP. Менеджеры сетей при этом получают выигрыш от хорошей функциональной совместимости.

• Прозрачность – IPSec работает под транспортным уровнем, что делает его прозрачным для приложений и пользователей; а это означает, что при реализации IPSec в брандмауэре или маршрутизаторе (сетевой уровень) нет необходимости вносить изменения в сетевые приложения настольного ПК.

• Проверка прав доступа – Служба аутентификации предотвращает возможность перехвата данных при использовании неправильно объявленных данных идентификации.

• Конфиденциальность – Шифрование данных исключает несанкционированный доступ к данным при передаче их между взаимодействующими сторонами.

• Целостность данных – Протокол Authentication Header (AH) обеспечивают целостность каждого пакета.

• Безопасные сквозные связи – IP Security обеспечивает наличие надежных, обозначаемых только конечными точками, связей для пользователей частной сети внутри одного домена или между любыми доменами, с которыми установлены доверительные отношения на предприятии.

• Централизованное управление — Администраторы сетей централизованно формируют и назначают политики безопасности и фильтры IPSec. Централизованное управление уменьшает административные накладные расходы.

• Гибкость – Протокол IP Security можно применить к отдельной рабочей станции, подразделению или всей организации.

Хотя классическая концепция безопасности состоит в защите данных от посторонних пользователей, IP Security обеспечивает также защиту от более вероятного источника вторжений, т.е. от несанкционированного доступа собственных внутренних пользователей.

В большинстве стратегий безопасности сетей основное внимание уделяется предотвращению внешних атак на сеть предприятия. Примерами таких попыток предотвращения внешних угроз может служить создание брандмауэров, маршрутизаторов, обеспечивающих безопасность, и телефонного доступа с маркерной аутентификацией. Но «ужесточение» защиты на периметре сети не предохраняет от попыток вторжений изнутри. Одно из самых больших преимуществ включения протокола IP Security в Windows 2000 состоит в способности противостоять как внутренним, так и внешним угрозам за счет установления между любыми двумя компьютерами защищенного канала. Кроме того, это выполняется совершенно «прозрачно», не требуя никаких усилий или дополнительных расходов от пользователей.

IP Security представляет собой два протокола: Authentication Header (AH) и Encapsulated Security Payload (ESP). Протокол AH обеспечивает взаимную аутентификацию хостов и обеспечивает целостность передаваемых пакетов. Протокол ESP выполняет шифрование содержимого пакетов, и также гарантирует взаимную аутентификацию и целостность. Когда защищенные данные аутентифицированы, получатель знает, что сообщение поступило именно от того отправителя, с которым установлено защищенное соединение, и во время передачи не подвергалось изменениям.

Исторически организации должны были постоянно «балансировать» между желанием защитить канал передачи данных и высокой стоимостью реализации и поддержания такой защиты. Затраты на защиту могут превосходить затраты на оборудование целиком всей сети. Эти затраты распределяются по следующим категориям:

• обновление программ;

• обучение персонала;

• управление криптографическими ключами.

Поскольку безопасность Windows IP Security реализуется на сетевом (OSI) уровне, она «прозрачна» для приложений. Безопасность на уровне сети обеспечивает большую экономию, так как не требует модификации пользовательских программ.

Поскольку безопасность Windows 2000 IP Security «прозрачна» для пользователей, то она не требует их обучения и, соответственно, этот источник затрат устраняется.

Для сохранения безопасности нужно регулярно менять криптографические ключи. Если эта работа выполняется администратором сети вручную, то управление ключами может занимать много времени. Из-за этого ключи в организации меняются не так часто, как этого требует обстановка, или они меняются только на нескольких жизненно важных компьютерах. Windows IP Security управляет ключами автоматически, при этом устраняются затраты на замену ключей вручную, обеспечивается и поддерживается максимальная защита информации на всем предприятии.