本章的目的是为实施服务器和域隔离设计提供指示。 先前各章说明了设计过程以及本章提供的指导背后的理论基础。 如果您尚未阅读这几章,则强烈建议您在继续本章之前先阅读它们。
本章为实现第 4 章“设计和规划隔离组”中设计的域隔离和服务器隔离组的安全要求提供全面指导。组合以下元素将实现这些要求:
| • | 隔离域和隔离组的入站和出站访问要求:
|
||||||
| • | 隔离域和隔离组的网络通信流保护要求:
|
本指导讨论了解决方案的准备工作,该解决方案在使用 Microsoft® Windows Server™ 2003 时在 Active Directory® 目录服务中使用组策略和 IPsec 策略,并讨论了如何使用 Windows Server 2003 和 Microsoft Windows® XP 配置域成员。 另外,本章还讨论了设计备用方案和部署选项。 提供了最终核对清单,以确保设计满足所有业务和安全要求。
本页内容
 |
本章先决条件 |
|
在 Active Directory 中创建 IPsec 策略 |
|
授权到隔离组的入站访问 |
|
其他 IPsec 注意事项 |
|
总结 |
本章先决条件
本节包含一些信息,用来帮助确定您的组织实施 IPsec 解决方案的准备工作。 (准备”是指后勤意识上的准备,而不是商业意识上的准备 — 本指南的第 1 章“服务器和域隔离简介”已讨论过实施本解决方案的商业动机。)
预备知识
您应熟悉 IPsec 的一般概念,特别要熟悉 Microsoft 的 IPsec 实施。 还需要熟悉 Windows Server 2003 的以下方面:
| • | Active Directory 概念,包括 Active Directory 结构和工具;操纵用户、组和其他 Active Directory 对象;以及组策略的使用 |
| • | Windows 系统安全,包括安全概念,如用户、组、审核和访问控制表 (ACL);使用安全模板;使用组策略或命令行工具应用安全模板 |
| • | 了解核心网络和 IPsec 原理 |
在继续本章之前,应先阅读本指南先前各章提供的规划指南并透彻理解本解决方案的体系结构和设计。 还应定义并记录解决方案的业务要求,以作为解决方案要求矩阵的一部分。
组织先决条件
应咨询组织中其他可能需要参与实施本解决方案的人员的意见,包括以下人员:
| • | 公司所有者 |
| • | 安全和审核人员 |
| • | Active Directory 工程、管理和操作人员 |
| • | DNS(域名系统)、Web 服务器以及网络工程管理和操作人员 注:根据您的信息技术 (IT) 组织结构的具体情况,这些角色可能由许多人担任,也可能由较少的人担任多个角色。 |
IT 基础结构的先决条件
本章还假定存在以下 IT 基础结构:
| • | 以混合模式或纯模式运行的 Microsoft Windows Server 2003 Active Directory 域。 此解决方案使用通用组来应用组策略对象 (GPO)。 如果组织不是以混合模式或纯模式运行,仍然可以通过使用标准全局和本地组配置来应用 GPO。 但是,由于这种方法管理起来很复杂,本解决方案未予采用。 注:Windows Server 2003 引入了许多影响 IPsec 策略的改进。 本解决方案没有任何特别之处会妨碍它与 Windows 2000 一起工作。 但是,只使用 Windows Server 2003 Active Directory 对本解决方案进行了测试。 |
| • | Windows 2000 Server、Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 许可证、安装媒体和产品密钥。 |
本章还要求全面了解现有 IT 基础结构,以确保对环境中的既定主机部署正确的策略。 第 3 章“确定 IT 基础结构的当前状态”描述了必需的信息以及获取的方法。 在至少获得以下信息之后,才能执行本章描述的步骤:
| • | 该设计的隔离组定义。 每个必需的隔离组应具有传达安全要求和确定这些要求所应用的对象的明确声明(即隔离组成员身份)。 |
| • | 如何使用 IPsec 策略实施隔离组的概括描述,包括所需的不同 IPsec 策略的列表以及如何指派它们。 |
| • | 应用 IPsec 实施隔离组的影响的概括摘要。 此摘要可能同时包含问题和变通办法的列表。 |
| • | IPsec 策略将如何随着时间变化的概括描述和需要 IPsec 策略更改的过程的列表。 此列表包括一些过程,如安全事件响应、添加网络组件以及在任何隔离组中添加客户端或服务器。 |
| • | 了解组织的网络技术和 IP 寻址方案。 |
在 Active Directory 中创建 IPsec 策略
创建支持必需隔离组的必要策略的进程主要包括以下主要任务:
| • | 创建筛选器列表。 |
| • | 创建筛选器操作。 |
| • | 创建 IPsec 策略以实施隔离组。 |
在进行创建这些组件的进程之前,从第 4 章“设计和规划隔离组”获取通信流模型图表以及主机和网络映射表非常重要。 这些表提供必要的信息,以确保策略提供必需的功能且被指派给正确的隔离组。
下图描绘了用于模拟 Woodgrove Bank 方案的网络配置。
Woodgrove Bank 测试实验室配置演示了解决方案的以下关键功能:
| • | 当使用 IPsec 时,域隔离使用网络访问组来阻止某种较高的风险,但不阻止域中受信任的主机 |
| • | 服务器隔离使用网络访问组来限制哪些受信任主机客户端有权使用 IPsec 进行连接 |
另外,此实验室环境演示了 Windows IPsec 的下列必需功能,并测试了与现实世界环境中可能使用的其他安全技术的兼容性:
| • | 运行 Windows 2000 Service Pack (SP) 4(包含网络地址转换遍历 (NAT-T) 更新)、Windows XP SP2 和 Windows Server 2003 的计算机作为域成员的兼容性。 |
||||
| • | 当使用了 Microsoft Windows 安全指南建议的强化方法保护这些平台时,它们的兼容性。 没有将使用 IPsec 筛选器允许和阻止通信流的通信流映射集成到此解决方案中,因为保护要求不同于隔离的保护要求。 没有集成通信流映射的其他原因是为了降低服务器隔离 IPsec 策略的复杂程度,还因为在许多情况下 Windows 防火墙更适合允许/阻止筛选(独立于 IPsec 为每个数据包提供的端到端安全性)。 |
||||
| • | IPsec 应用保护 Web (HTTP)、SQL Server、分布式文件系统 (DFS)、文件和打印共享、Microsoft Operations Manager (MOM) 以及 Microsoft Systems Management Server (SMS) 服务器和通信流的能力。 |
||||
| • | IPsec 封装式安全措施负载 (ESP) NAT-T 的兼容性,它对以下两种情况都使用用户数据报协议 (UDP)-ESP 封装:
|
图 5.1 中展示的实验室方案用于测试是否已在解决方案的所有隔离组实现正确功能。 总共为图中显示在粗短划线中的隔离组(即隔离域、加密隔离组、无回退隔离组和边界隔离组)创建和指派了四种 IPsec 策略。以下各节说明这些策略是如何创建的。
IPsec 策略组件概述
IPsec 策略由几个组件组成,这些组件用于实施组织的 IPsec 安全要求。 下图描绘了 IPsec 策略的各种组件以及它们之间如何关联。
IPsec 策略充当一套规则的容器,这些规则确定将允许哪些网络通信流以及如何允许。 每条规则由一个筛选器列表和一个关联操作组成。 筛选器列表包含一组筛选器。 当通信流与特定筛选器匹配时,将触发关联的筛选器操作。 另外,规则还定义在主机之间使用哪些身份验证方法。
此图以从上往下的方式描绘了策略组件。 但是,建立策略最有效的方法是从筛选器和筛选器列表开始,因为它们是控制保护哪个通信流的基础构造块。
IPsec 筛选器列表
IPsec 筛选器列表是一个或多个筛选器的集合,这些筛选器用于根据每个筛选器的标准与网络通信流匹配。 筛选器列表中的每个筛选器定义以下各项:
| • | 源和目标网络或地址 |
| • | 协议 |
| • | 源和目标传输控制协议 (TCP) 或 UDP 端口 |
筛选器列表和筛选器操作设计成可在 IPsec 策略之间被共享。 这种方法允许为某种类型的免除维持一个筛选器列表,并允许在每个隔离组的个别 IPsec 策略中使用同一个筛选器列表。 但是,不能在筛选器列表之间共享组成筛选器列表的筛选器。 如果两个筛选器列表具有相同的筛选器,则必须创建这些筛选器两次,为每个筛选器列表创建一次。
IPsec 管理员应小心避免在 IPsec 策略中使用重复的筛选器,因为这些筛选器可能产生不同的操作。 IPsec 服务可能更改重复筛选器用于数据包处理的次序,从而产生不一致的结果。 当筛选器具有完全相同的操作(如允许或阻止)时,如有必要可以使用重复筛选器,且不会影响性能。
前面收集的网络信息用于确定管理员想保护的各种通信流模式。 另外,该信息还用于确定任何可能需要免除 IPsec 限制的通信流。
下表描述了典型组织中可能存在的一些基本筛选器列表。 根据组织的具体业务要求和网络设计,可能还需要其他筛选器列表。
表 5.1:解决方案提供的筛选器列表
| 筛选器列表 | 描述 |
安全子网列表 |
包含组织中将使用 IPsec 保护的所有子网 |
DNS 免除列表 |
包含允许不使用 IPsec 进行通信的 DNS 服务器的 IP 地址 |
域控制器免除列表 |
包含允许不使用 IPsec 进行通信的域控制器的 IP 地址 |
WINS 免除列表 |
包含允许不使用 IPsec 进行通信的 Windows Internet 命名服务 (WINS) 服务器的 IP 地址 |
DHCP,协商通信流 |
包含允许动态主机配置协议 (DHCP) 协商通信流经过 UDP 68 的筛选器 |
ICMP,所有通信流 |
包含允许 Internet 控制消息协议 (ICMP) 在组织内用于疑难解答的筛选器 |
安全子网列表包含组织内部网络内的所有子网。 此筛选器列表与实施特定隔离组所需操作的筛选器操作相关联。 此操作是对该子网所有网络通信流使用最广的安全操作(例如,协商 IPsec),因为其他筛选器(如用于 ICMP 的筛选器)更加特别,将需要不同的操作(如允许)。 切记这种方法意味着那些子网上不得有不受信任的主机或非 IPsec 主机。
这些筛选器必须同时实施入站和出站安全要求。 定义这些筛选器时,应将它们配置为镜像。 镜像确保当使用正好相反的源和目标地址时,也与通信流相匹配。 当描述筛选器时,符号“<->”用于表示该筛选器是镜像的。 每当筛选器操作协商 IPsec 封装的安全措施时,必须使用镜像筛选器。
源和目标地址
每个筛选器对源和目标地址都进行了设置。 Windows XP 和 Windows Server 2003 比 Windows 2000 具有更多的地址选项。 因此,仅当 Windows 2000 是域的成员时,才使用 Windows 2000 设置。 Windows 2000 设置说明如下:
| • | 我的 IP 地址。 设计了此选项,以便可对许多或所有计算机应用 Active Directory 中的公用 IPsec 策略,而不管它们是使用静态 IP 地址还是使用 DHCP 分配的地址。 为了支持从域进行集中策略指派,IPsec 只支持接口类型(如 LAN 或 WAN)的筛选器配置,不支持物理网络接口(例如,拨号或虚拟专用网络 (VPN) 接口)的筛选器配置。 使用“我的 IP 地址”导致当 IPsec 服务准备实施策略时,通用 IPsec 策略筛选器被复制成为特定筛选器,该特定筛选器包含计算机所使用的每个 IP 地址。 它还使 IPsec 服务检测地址更改或新的网络接口,以便维持正确的筛选器数目。 如果计算机有一个配置了两个 IP 地址的网卡,则将有使用两个不同的 IP 地址创建两个不同的 IPsec 特定筛选器。 |
| • | 任何 IP 地址。 此选项导致 IPsec 筛选器与任何 IP 地址匹配。 |
| • | 一个特定的 DNS 名称。 此选项导致 IPsec 评估指定的 DNS 名称的 IP 地址,然后使用那个或那些 IP 地址创建筛选器。 结果与管理员将那个或那些 IP 地址输入筛选器相同。 在创建初始筛选器期间,该 DNS 名称将被解析,相应的 IP 地址将被放入筛选器。 如果对于筛选器中指定的 DNS 名称,DNS 服务器具有错误的资源记录,则将会把错误的 IP 地址添加到筛选器。 注:在策略中第一次创建筛选器之后,不会再评估该 DNS 名称。 当需要创建许多筛选器时,DNS 名称选项非常有用,因为 DNS 名称具有许多相应的 IP 地址,如域中每个域控制器的 IP 地址。 没有自动方法来创建将与给定 DNS 名称的 IP 地址列表保持同步的筛选器。 |
| • | 特定地址。 此选项使通信流与向筛选器提供的 IP 地址匹配。 |
| • | 特定子网。 此选项允许管理员配置特定的子网。 指定的子网内的任何 IP 地址将与该筛选器匹配。 使用此选项时应小心,特别是当为子网创建了免除时,因为也会免除欺骗性地使用了该子网的 IP 地址的恶意用户。 注:Windows XP 和 Windows Server 2003 已经进行了增强,提供附加的地址选项,以及那些版本支持的许多其他选项。 如果要对多个平台应用同一 IPsec 策略,管理员必须确保在策略设计中仅使用 Windows 2000 选项。 |
协议
除了源和目标地址配置之外,还可将每个筛选器配置为与特定协议或端口匹配。 默认情况下,筛选器将与所有协议和所有端口上的通信流匹配。 如果选择了支持端口的特定协议作为筛选条件的一部分,则管理员还可以选择配置源和目标端口。
源和目标端口
虽然可将筛选器配置为与 TCP 或 UDP 端口匹配,但是此解决方案建议不要创建特定于端口的筛选器。 端口筛选大幅增加管理开销和 IPsec 筛选器配置的复杂程度,并需要在 IKE 的客户端和服务器策略之间进行复杂的协调才能成功地协商安全性。 因为此解决方案假定受信任计算机之间的通信事实上也是可信任的,所以筛选器允许所有通信流(ICMP 除外)受 IPsec 保护。 如果在受信任主机上需要端口筛选,请参阅 Business_Requirements.xls 以了解相应的安全要求,通过组合使用 IPsec 和位于 IPsec 层之上基于主机的防火墙(如 Windows 防火墙)可满足这些安全要求。
为了解决附录 A 中提到的有关使用“我的 IP 地址”的筛选器行为的一些问题,此解决方案为 Woodgrove Bank 方案使用了“任何 IP 地址 <-> 子网”筛选器。 创建了一个筛选器列表,该列表由多个“任何 IP 地址 <-> 特定子网”筛选器组成,在这些筛选器中显式列出了组织的所有子网。 这种方法允许管理员定义应保护的特定子网。 指定的子网之外的任何通信流将不与任何 IPsec 筛选器匹配,将以明文方式发送到目标主机。
有关筛选器设计的其他最佳做法建议,请参阅 Microsoft TechNet 上的 IT Showcase 白皮书“Improving Security with Domain Isolation: Microsoft IT implements IP Security (IPsec)”的“Best Practices”部分,网址为 www.microsoft.com/technet/itsolutions/msit/
security/ipsecdomisolwp.mspx。
免除列表注意事项
由于支持、技术或商业原因,可能无法使用 IPsec 保护一些通信流。 另外,不运行 Windows 操作系统的计算机可能不支持 IPsec 或不能轻松地给它们部署 IPsec。 运行较旧的 Windows 版本(如 Microsoft Windows NT® 版本 4.0、Windows 95 和 Windows 98)的计算机不能处理基于组策略的 IPsec。 最后,仅当手动将策略部署到个别计算机且使用了某种不同于 Kerberos V5 协议的身份验证(如预共享密钥或证书),运行 Windows 2000 或更高版本的未受管理的计算机才可以参与 IPsec 协商。
另外,运行 Windows 2000 或更高版本的计算机需要拥有网络连接且能从域获得 IPsec 策略,然后才能建立 IPsec。 当前,连接到网络、查找域控制器和检索策略需要免除支持基础结构服务受 IPsec 安全性保护。 这些服务包括命名服务(如 DNS 和 WINS)以及域控制器本身。
除了这些基础结构服务之外,组织中可能存在不支持 IPsec 的其他服务。 例如,需要从高级部署服务 (ADS) 或远程安装服务 (RIS) 下载映像的瘦客户端或其他引导客户端不支持 IPsec。 如果您的网络上存在提供这些服务的服务器,应检查它们是否包括在免除列表中或使它们成为边界隔离组的成员,以便它们可接受来自不能使用 IPsec 的主机的网络通信。
注:决定是否在免除列表上包括提供 ADS、RIS 或其他类似服务的服务器,或是否使它们成为边界隔离组的成员,取决于风险和可管理性因素。 在任一情况下,都应彻底测试所选择的方法。
如果客户端不能参与 IPsec 基础结构但有访问使用 IPsec 的服务器的商业需要,则必须实施某种方法来允许建立通信路径。 本指南中的解决方案使用免除筛选器列表来通过允许操作控制这些通信流要求。 免除列表设计成集成到 IPsec 基础结构中&
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
