一、隔离方案
1.1 【逻辑隔离方案概述】:
其包含两种隔离,分别为:
●服务器隔离方案:: 确保服务器仅接受来自受信任的域成员或特定一组域成员的网络连接;
●域隔离方案: 用于将域成员与不受信任的连接隔离。
这两个解决方案可作为整体逻辑隔离解决方案的一部分单独使用或配合使用。该解决方案的核心是,允许 IT 管理员限制“作为受信任计算机的域成员”的 TCP/IP 通信,这些受信任的计算机可以被配置为仅允许来自其他受信任计算机或者特定一组受信任计算机的传入连接; 通过使用 Active Directory® 组策略来控制网络登录权限,从而实现逻辑上隔离,还可集中管理访问控制。
上述方案中, IPsec工作在应用层之下的网络层,它在计算机之间以端到端方式提供身份验证功能以及逐个数据包的安全性;对网络通信流进行身份验证或者进行身份验证并加密。本逻辑隔离解决方案可有效地限制了不受信任计算机访问受信任资源的能力,不受信任计算机进行的恶意软件攻击不会得逞,这是因为不允许进行连接,即使攻击者获得了有效用户名和密码。另外,受管计算机之间的所有网络通信流进行加密,通信更加安全;
另外,所谓隔离概念在本方案中是指任何特定的受信任主机决定谁对其有网络级访问权限的能力。远程计算机必须使用 IPsec 来协商信任并确保端到端的 TCP/IP 通信流与目标计算机的安全。
应允许仅从其他受信任资源对受信任资源(在默认情况下)进行网络级别的访问。 此外,通过对受信任环境中的特定用户和计算机使用允许或拒绝权限及 ACL 来控制网络层的访问。
域环境中,通过限制入站网络访问,基于使用 IPsec Internet 密钥交换 (IKE) 安全协商协议的域成员计算机身份实现成功验证来----隔离远程计算机。 仅在计算机身份验证已成功验证通过并且 IPsec 安全关联 (SA) 保护所有上层协议和两台计算机之间的应用程序连接之后才涉及用户身份验证,以进行第二层的验证。但不支持对域控制器的用户登录通信流的 IPsec 保护。本解决方案仅取决于基于 IPsec IKE 域 (Kerberos) 的成功的身份验证以建立信任并由此建立 IPsec 保护的连接。
逻辑隔离层的安全的直接目的在于通过控制网络通信确保主机的安全。 类似于基于主机的防火墙的任务。但主机防火墙是对端口提供允许和阻止服务,而 IPsec 提供允许和阻止服务并协商受信任网络访问服务。 授予访问权限之后,IPsec 可确保两台计算机之间的所有数据包的安全。
使用 IPsec 的优势之一在于它可以为现有的应用程序提供网络通信流安全而无需更改这些应用程序,且可以配合SSL/TLS 一起使用。IPsec 可确保源和目标 IP 地址之间的通信流的安全。本隔离方案使用域成员间的 IKE 身份验证的 Kerberos 协议签名代替基于证书的签名。 Windows IPsec IKE 协商使用 Kerberos 协议和基于证书的身份验证建立了计算机间的相互信任。
隔离方案中的几个概念:
域隔离: 此术语定义将受信任计算机从不受信任计算机中分离的隔离类型。 计算机只需提供有效的凭据和使用 IKE 成功进行身份验证即可进行隔离。 此域是可通过试图确保其通信安全的两台主机间的双向信任可访问的信任路径中的任何域。
服务器隔离: 此术语定义服务器如何限制对受信任计算机的特定组使用 IPsec 和“从网络访问此计算机”权限进行入站访问。
隔离组: 受信任主机的逻辑分组,受信任主机共享相同的通信安全策略、主要是共享相同的入站和出站网络通信流要求。 可通过 IPsec 策略本身使用允许和阻止操作,实施隔离组的入站和出站访问控制,或通过将 IPsec 协商安全和组策略网络登录权限一起使用来实施(还可能使用其他网络配置或连接设置)。
隔离域: 组中的成员身份与 Windows 域中的成员身份相同的隔离组。 如果域有双向受信任域,则那些域的成员是隔离域的一部分。 作为隔离组,入站和出站要求很简单:入站连接只可来自其他受信任的主机域成员。 在服务器隔离组中的服务器可能包括一些客户端是被隔离域的一部分。
网络访问组: 用于控制对计算机的网络访问的 Windows 域安全组,方法是使用网络登录权限的组策略安全设置。 这是专门为实施隔离组的入站访问要求而创建的。 每个隔离组可能都有“允许”网络访问组 (ANAG) 和“拒绝”网络访问组 (DNAG)。
域信任: 暗示域的所有成员都信任域控制器建立身份并为该身份提供正确的组成员信息。 信任对于通过使用 IPsec 与远程计算机进行通信是必要的。 信任还意味着与其通信的用户或计算机被视为可接受并且风险可能也很低。
免除:可理解为白名单, 不使用 IPsec(不论是否加入域)的计算机。 免除分为两种类型。 一种是使用静态 IP 地址的计算机,其地址包括在 IPsec 策略“免除列表”中以便受信任主机不将 IPsec 与这些计算机配合使用。 另一种是不使用 IPsec 策略协商安全连接的计算机。 后一种计算机可能出现在免除列表中,也可能不出现在免除列表中。 免除计算机可能符合受信任主机的要求,但不将 IPsec 保护的通信与隔离域中的其他受信任主机配合使用。
参考官网地址:https://docs.microsoft.com/zh-cn/windows-server/security/security-and-assurance
1.2 IPsec创建和配置
创建IPsec 规则,其确定 了IPsec 必须对哪些类型的通信流进行检查;是允许通信流、阻止通信流还是协商安全性;如何对 IPSec 对等方进行身份验证;IPsec 规则通常是针对特定用途(例如,“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”)配置的。
配置 IPsec 规则时,您可以配置筛选器列表,该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式(传输模式或隧道模式)。
筛选器定义了要检查的通信流(这与防火墙规则类似)以及源和目标 IP 地址、协议和端口号;可以配置筛选器操作以允许通信流、阻止通信流或协商安全性(协商 IPsec)。 如果将筛选器操作配置为协商安全性,则还必须配置各种密钥交换安全措施(以及这些方法的优先顺序)、是否接受最初传入的无安全保护的通信流、是否允许与不支持 IPsec 的计算机进行无安全保护的通信以及是否使用完全向前保密 (PFS)。筛选器操作定义了网络通信流的安全性要求。筛选器列表仅仅是已知子网和基础结构 IP 地址的清单。
密钥交换设置和密钥交换安全措施确定了 IPsec 协议线格式(验证头 (AH) 或封装式安全措施负载 (ESP))、加密和哈希算法、密钥生存期以及配置 Internet 密钥关联 (IKE) 主模式和 IPsec 安全关联 (SA) 所必需的其他设置。 SA 是与密钥资料相关联的安全性设置协议。 在第一次 IKE 协商阶段创建的 SA 被称为 IKE 主模式 SA(亦称为 ISAKMP 主模式 SA)。 IKE 主模式 SA 对 IKE 协商本身进行保护。 在第二次 IKE 协商阶段创建的 SA 被称为 IPsec SA(亦称为 IKE 快速模式 SA,这是因为每个 IKE 快速模式协商都为每个方向进行 IPsec SA 协商)。 IPsec SA 对应用程序通信流进行保护。
IPsec 筛选器被插入到计算机上的 TCP/IP 网络协议堆栈的 IP 层,因此这些筛选器可以对所有入站或出站 IP 数据包进行检查(筛选),而对于最终用户应用程序和操作系统服务来说是透明的。筛选器依据 IPsec 策略中的安全性规则与相应的筛选器操作相关联。 Windows IPsec 同时支持将 IPsec 隧道模式和 IPsec 传输模式用作此规则的选项。 IPsec 隧道模式规则的配置与 IPsec 传输模式规则的配置有很大差异。与 IPsec 策略相关联的筛选规则与防火墙规则类似。 通过使用 IP 安全策略管理 Microsoft 管理控制台 (MMC) 管理单元提供的图形用户界面 (GUI),可以将 IPsec 配置为根据源与目标地址组合以及特定协议和端口来允许或阻止特定类型的通信流。
注:Windows IPsec 并不是功能全面并基于主机的防火墙,它也不支持动态筛选功能或有状态筛选功能,
IPsec 监视器 MMC 管理单元提供了最详细的 IPsec 筛选器顺序视图。 当 IPsec 服务处理一组 IPsec 策略规则时,筛选器被复制为两类筛选器,从而对 IKE 协商的两个阶段进行控制:
1> IKE 主模式筛选器。 这些筛选器仅使用 IPsec 策略中定义的筛选器源地址和目标地址来控制 IKE 主模式。 专用于 IKE 主模式的筛选器每个都有与之相关的 IKE 主模式协商策略,该策略定义了:
•使用密钥交换设置为 IPsec 策略定义的 IKE 主模式安全措施,例如 Diffie Hellman 主密钥强度和用于保护 IKE 协商本身的加密算法与完整性算法。
•IKE 主模式生存期以及对根据同一主密钥生成的会话密钥数的限制。
•身份验证方法。
2> IKE 快速模式筛选器。 这些筛选器包含有关地址、协议和端口的全部筛选器信息。 IKE 快速模式对此筛选器定义进行协商,以确定在 IPsec 安全关联对内部可以对哪些通信流进行保护。 每个特定的筛选器都有相应的权值和一组安全措施,这些安全措施定义了:
•传输模式或隧道模式下的 AH 或 ESP 封装选项。
•加密算法与完整性算法列表。
•IPsec 安全关联的生存期(以千字节和秒计)。
•完全向前保密安全设置。
注:专用于 IKE 快速模式的筛选器就是对 IPsec 驱动程序指定的要强制实施的那些筛选器。 IPsec 驱动程序按照最高权值指定的顺序来将所有入站和出站 IP 通信流与这些筛选器进行匹配。
【IKE 协商过程】
IPsec 策略中定义的筛选器之所以被看作“一般”筛选器,是因为它们可能已在该策略应用时被 IPsec 服务解释。 在计算机上应用(或更改)IPsec 策略时,IPsec 服务将所有的一般筛选器解释为特定的筛选器。 特定的筛选器具有内置的计算权值的算法或顺序,在选择通信流时,顺序也被称为筛选器的特定程度。 权值越大,筛选器就越特定。 所有这些特定筛选器都根据它们的权值排序。 筛选器权值是依次根据筛选器中可能定义的 IP 地址、协议和端口计算的。 这种方法确保策略中的规则顺序、每个不同筛选器列表中的筛选器顺序,不会对 IPsec 驱动程序在数据包处理期间强制实施的筛选行为产生影响。 数据包首先与最特定的筛选器进行匹配,从而最大程度地缩短根据全部筛选器处理每个数据包所需的时间。 与某个数据包相匹配的最特定筛选器所对应的筛选器操作就是对该数据包执行的唯一操作。 可以定义的最具一般性的筛选器就是与任何 IP 地址、所有协议和端口都匹配的那些筛选器。 例如,请考虑以下四个筛选器定义:
•任何 IP 地址 <-> 任何 IP 地址,任何协议 //定义的最一般的筛选器。通常与阻止操作配合使用以实现默认行为“全部拒绝”。如果使用此筛选器来阻止全部通信流,则其余更特定的筛选器可以被看作第一个筛选器的例外情况,应该避免使用指定了“任何 IP 地址到任何 IP 地址”的筛选器。
•任何 IP 地址 <-> 192.168.1.0/24,任何协议
•任何 IP 地址 <-> 192.168.1.0/24,任何协议
•任何 IP 地址 <-> 192.168.1.10/24,任何 TCP 源端口,目标端口为 25
上述筛选器匹配工作流程:
如果使用 TCP 端口 25 从任何 IP 地址到 192.168.1.10 的入站通信流以及从端口 25 发出的相应出站响应,全部四个筛选器都匹配。 由于第四个筛选器指定了目标 IP 地址、协议和端口号,所以它最为特定。 如果 IPsec 驱动程序强制实施全部这四个筛选器,则发往 TCP 端口 25 的入站数据包将只与第四个筛选器(也就是最特定的筛选器)匹配。 如果远程系统使用除端口 25 以外的其他端口来向 192.168.1.10 发送 TCP 通信流,则此通信流与第三个筛选器匹配。 最后,如果通信流被发送到 192.168.1.0 子网中除 192.168.1.10 以外的任何 IP 地址,则第二个筛选器对于该通信流来说就是最特定的筛选器。
一般来讲,策略包含的筛选器越多,对数据包处理性能的影响就越大。 这方面的性能影响通常表现为吞吐量下降、非页面缓冲池内核内存及 CPU 负载提高;因此,在进行规划时,应该考虑对 IPsec 策略设计进行性能测试。 除了在吞吐量非常高的计算机上,几百个筛选器的影响是不大可能被注意到的。
IPsec 策略可以使用大量的筛选器。 使用了通用数据包分类器 (GPC) 驱动程序对具有“从 <IP 地址> 到 <IP 地址>”格式的筛选器(协议和端口不限)进行优化,因而查找速度极快。 GPC 几乎可以处理任意数目的这些筛选器,而吞吐量不会降低。 因此,倘若有足够的非分页内核内存来容纳整个筛选器列表,就可以很容易地支持使用“我的 IP 地址到 <特定免除 IP 地址>”格式的大型免除列表。 GPC 无法优化源和目标不具有特定 IP 地址的筛选器,这意味着“任何 IP 地址 <-> 特定 IP 地址(或子网)”筛选器将要求执行顺序搜索。
当允许或拒绝发往特定端口或协议的通信流时,可能最适合使用“我的 IP 地址”。 例如,在 Woodgrove Bank 的 IPsec 策略设计中,使用了“我的 IP 地址”筛选器创建了一个更特定的筛选器,该筛选器允许在所有计算机之间使用明文收发 Internet 控制消息协议 (ICMP) 通信流。
IKE 协商过程
设计 IKE 协议的目的是为了帮助在每台计算机之间安全地建立信任关系、协商安全性选项以及动态生成共享的、加密密钥资料。 为了确保能够成功并且安全地进行通信,IKE 执行两阶段的操作:第一阶段(主模式)协商和第二阶段(快速模式)协商。 在每个阶段,通过使用两台计算机在安全协商期间认可的加密算法和身份验证算法,使机密性和身份验证得到保障。
IKE 主模式 SA 和 IPsec SA
每次使用 IPsec 来帮助保护通信流安全时,就会建立一个 IKE 主模式 SA 和两个 IPsec SA。 在示例方案中,为了在 A与 B之间进行受 IPSec 保护的通信,建立了下列 SA:
A站[IP1] <-------- IKE main mode SA [IP1, IP2] -----> [IP2] B站
A站 [IP1] ---------- IPsec SA [SPI=x] ------------------> [IP2] B站
A站 [IP1] ---------- IPsec SA [SPI=x] ------------------> [IP2] B站
主模式协商:在主模式协商期间,两台计算机建立安全并且经过验证的通道。 首先,对下列 IPsec 策略参数进行协商:加密算法(DES 或 3DES)、完整性算法(MD5 或 SHA1)、用于基本密钥资料的 Diffie-Hellman 组,及身份验证方法(Kerberos V5 协议、公钥证书或预共享密钥)。 在对 IPsec 策略参数进行协商后,公用值的 Diffie-Hellman 交换就完成了。 Diffie-Hellman 算法用来生成计算机之间的共享密钥、对称密钥和加密密钥。 Diffie-Hellman 交换完成后,每台计算机上的 IKE 服务都生成用于帮助保护身份验证的主密钥。 配合协商算法和协商方法,主密钥用来验证身份。 然后,通信的发起方将潜在的 SA 提供给响应方。 响应方发送接受该内容的回复或者其他回复。 成功的 IKE 主模式协商将得到主模式 SA。
快速模式协商在快速模式协商期间,建立一对 IPsec SA 来帮助保护应用通信流,此通信流可以包括通过 TCP、用户数据报协议 (UDP) 以及其他协议发送的数据包。 首先,对下列策略参数进行协商:IPsec 协议线格式(AH 或 ESP)、用于确保完整性和进行身份验证的哈希算法(MD5 或 SHA1)以及在要求进行加密时要使用的加密算法(DES 或 3DES)。 在此期间,达成一个有关在所建立的 IPsec SA 对中传送的 IP 数据包类型的公共协议。 IPsec 策略参数协商完毕后,就会刷新或交换会话密钥材料(每种算法的加密密钥和密钥生存期,分别以Kb和秒计)。
每个 IPsec SA 都由安全参数指数 (SPI) 标识,后者将被插入到所发送的每个数据包的 IPsec 标头中。 一个 SPI 标识入站 IPsec SA,另一个 SPI 标识出站 IPsec SA。
上述案例中,A站 与 B站之间的 IKE 主模式 SA 是双向的。 两台计算机都可以通过使用 IKE 主模式 SA 提供的保护来启动快速模式协商。 IPsec SA 不依赖于上层协议的状态。 例如,建立和结束 TCP 连接时,IPsec SA 的工作不会中断,并且 IPsec SA 可以在 TCP 连接结束前到期。 在现有 IPsec SA 对的生存期过期前,IKE 将尝试使用快速模式协商建立两个新的 IPsec SA 对来进行重新协商,从而帮助防止连接中断。 虽然此过程通常被称为重新生成 IPsec SA 密钥,将实际上建立了两个新的 IPsec SA。IKE 主模式 SA 的到期与 IPsec SA 对无关。 如果需要新的 IPsec SA 对,则将根据需要自动重新协商 IKE 主模式 SA(在主模式 SA 过期后)
AH
AH 为整个数据包提供数据来源身份验证、数据完整性以及反重放保护。 AH 未提供数据保密功能,这意味着它不对数据进行加密。 该数据可以被读取但不能被修改,从而防止了电子欺骗。完整性和身份验证是通过在 IP 标头与 TCP 数据之间放置 AH 标头提供的。
ESP
ESP 提供了数据来源身份验证、数据完整性、反重放保护以及仅用于 IP 有效负载的保密选项。 在传输模式下,ESP 未通过加密校验和来保护整个数据包。 未对 IP 标头进行保护。ESP 标头被放置在 TCP 数据之前,ESP 尾端和 ESP 身份验证尾端被放置在 TCP 数据之后。
IKE 身份验证
IKE 在计算机之间使用相互身份验证以建立受信任通信, 两个通信端点必须有至少一种公共的身份验证方法,否则通信将会失败。在 IKE 协商期间,IKE 发起方为响应方提供身份验证方法列表。 响应方使用发起方的源 IP 地址来确定 IKE 协商由哪个筛选器控制。响应方进行回复,将双方同意的身份验证方法通知发起方。身份验证成功,并且主模式协商成功完成,主模式 SA 将在 8 小时内有效。 如果 8 小时结束时仍在传输数据,则将自动重新协商主模式 SA。 IPsec 策略规则使筛选器中的每个 IP 地址与一个身份验证方法列表相关联,以便 IKE 可以确定与每个 IP 地址配合使用的身份验证方法列表。
Kerberos V5 身份验证协议
域或受信任域中的任何计算机都可以使用这种身份验证方法。使用 Kerberos 身份验证方法时,在主模式协商期间,每个 IPSec 对等方都以未加密格式将其计算机标识发送给另一对等方。攻击者可以发送 IKE 数据包来使相应的 IPSec 对等方暴露其计算机标识和域成员资格。 因此,为了确保与 Internet 连接的计算机的安全,建议您使用证书身份验证。Psec 筛选不对 Kerberos 协议通信流进行处理。要对 Kerberos 协议通信流进行 IPsec 筛选处理,您必须修改注册表,然后添加适当的 IPsec 筛选器以确保此通信流的安全。
IPSec 策略即在 IP 层上处理网络通信流的一组安全规则。 安全规则包含与允许、阻止或协商操作关联的数据包筛选器。 当需要协商时,可使用 IPsec 策略中的身份验证和安全措施与对等计算机协商。
【相关术语】
•永久 IPsec 策略: 在 Windows XP 和 Windows Server 2003 中引入的一种 IPsec 策略,可允许永久应用 IPsec 策略设置。 永久策略首次应用于启动 IPsec 服务,因此它会覆盖本地或域 IPsec 策略中的设置。
•IKE 协商: 启动网络连接以确定使用 IPsec 的计算机是否会允许连接的过程。
•安全关联 (SA): 两台主机对如何使用定义此协商的 IPsec 和各种参数进行通信而达成的协议。
主模式 SA: 在发起方和响应方计算机之间进行 IKE 协商时首先建立这些 SA。
快速模式 SA:在为主机间的通信的每个会话建立主模式 SA 之后协商这些 SA。
•回退到使用明文 如果响应方未回复 IKE,则此选项允许 IKE 发起方传输普通的 TCP/IP 通信流(非 IKE 或 IPsec)。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“允许和不支持 IPSec 的计算机进行不安全的通讯”的选项。
•入站通过: 此选项允许支持 IPsec 的计算机接收来自远程计算机的普通 TCP/IP(非 IKE 或 IPsec)入站数据包。 上层协议通常以出站数据包回应,然后启动 IKE 返回到远程计算机上。 这是 IPsec 策略管理工具的筛选器操作属性页面上的“接受不安全的通讯,但总是用 IPSec 响应”的选项。
注。 如果已启用“入站通过”,但未启用响应方的“回退到使用明文”,则响应方无法与不支持 IPsec 的发起方成功通信。
域策略
GPO: 创建的组策略设置包含在组策略对象 (GPO) 中。 通过将 GPO 与所选择的 Active Directory 系统容器(站点、域和组织单位 (OU))关联,可将 GPO 的策略设置应用于那些 Active Directory 容器中的用户和计算机。 使用组策略对象编辑器创建单个 GPO ,使用组策略管理控制台以管理整个企业中的 GPO。域策略即集中存储在 Active Directory 中的策略。
1)更改分配给隔离组的 IPsec 策略
点击GPO,依次展开“计算机配置”、“Windows 设置”和“安全设置”,然后单击“IP 安全策略,在 Active Directory(域名)”,在右窗格中右键单击“<IPsec 策略名称>”,然后单击“指派”,确保已指派 <IPsec 策略名称>,然后关闭“组策略编辑器”和“组策略管理控制台”。
2)更改现有规则的筛选器列表
筛选器列表中的筛选器顺序不影响 IPsec 驱动程序处理数据包的顺序。 IPsec 策略的所有规则中的所有筛选器列表列出的筛选器都使用权重的内部算法来排序。
在“管理 IP 筛选器表和操作”窗口中的“管理 IP 筛选器列表”选项卡上,单击“免除”筛选器列表,然后单击“编辑”,取沟“使用添加向导”复选框。
在“IP 筛选器列表”对话框中,单击“添加”,在“源地址”下拉框中,单击“任何 IP 地址”,在“目标地址”下拉框中,单击“一个特定的 IP 地址”,在“IP 地址”文本框中,键入此特定的 IP 地址,确保选中了“镜像”复选框,在“描述”选项卡上,键入筛选器项的适当说明,单击“确定”,然后再次单击“确定”。
如果一组计算机有一个自定义 IPsec 策略,则更改分配给当前规则的筛选器操作比生成一个新的 IPsec 策略更有意义。
3)更改现有规则的身份验证方法
IPsec 策略中的默认身份验证方法使用 Kerberos V5 协议。 随着时间的推移,可能有必要更改与现有规则关联的身份验证方法。 例如,可部署公钥基础结构 (PKI) 以便使用证书对计算机进行身份验证。
虽然可选择的每个身份验证方法需要的信息都不同,但添加身份验证方法的常规步骤都是相似的。 例如,要使用预共享密钥,则必须确定此密钥;要使用证书,则必须了解证书颁发机构 (CA)。 要将新身份验证选项添加到现有 IPsec 规则中,可参考下列步骤:
在“IP 安全规则”列表中,单击“<规则名称>”,然后单击“编辑”,在“身份验证方法”选项卡上,单击“添加”,单击要选择的新身份验证选项旁边的按钮,然后按需要配置所有选项。
在“身份验证方法首选顺序”列表中,使用“上移”和“下移”按钮创建身份验证方法的优先顺序。
服务器和域隔离组件
1)受信任主机:
受信任主机是 IT 组织可以对其管理以满足最低安全要求的计算机。 通常,只要计算机正在运行安全和受管理的操作系统、防病毒软件以及当前应用程序和操作系统更新时,就可实现这种受信任状态。 确定计算机受信任之后,本解决方案的下一个组件就是通过身份验证确认计算机的状态。 有关确定状态的详细信息,请参阅第 3 章“确定 IT 基础结构的当前状态”。
注:IPsec 本身无法确定计算机是否符合特定的主机标准。 需要监视技术来确定计算机的基准配置并报告该配置的任何更改。
主机身份验证
主机身份验证机制确定试图启动会话的计算机是否具有有效的身份验证凭据,例如来自 Kerberos 票证的凭据、证书或可能是预共享密钥。 当前有两种技术可提供这种基于 Windows 的计算机上的身份验证机制。 以下各节对这两种技术进行了解释。
802.1X 协议
802.1X 是一种验证用户和设备以便授权它们通过链接层网络端口连接的标准协议,如 802.11 无线链接或 802.3 以太网端口。 这允许控制用户体验(如计费等目的)、控制授权和其他功能。 此协议需要一台或多台专用服务器(例如,远程身份验证拨入用户服务 [RADIUS])及支持此协议的网络基础结构。 802.1X 旨在提供客户端与无线访问点之间的无线通信流的 802.11 有线对等保密 (WEP) 加密的网络访问和加密密钥的控制。 设备被授予网络访问权限之后,通常就可与其余的内部网络进行开放式连接。 数据在无线访问点上被解密之后,以普通 TCP/IP 明文格式被发送至目标端,并可能由各种应用层机制确保安全。
Woodgrove 安全要求从内部网络上的不受信任计算机中保护所有受信任主机。 虽然 802.1X 可强制实施只是受信任的计算机才被允许通过无线和某些有线链接访问,但用于大多数内部 802.1X 以太网端口的交换机不支持 802.1X 身份验证。 要更新每一个物理 LAN 访问墙上端口和全球所有的建筑物需要巨大的硬件购买和安装成本。 因此,Woodgrove 已决定使用 802.1X 用于无线安全,但不用于硬线以太网端口。
另一个 Woodgrove 安全要求是对受信任客户端和加密服务器之间的通信流进行端到端加密。 802.1X 还无法为有线连接提供加密,只能对无线连接加密。 即使加密了无线连接,将无线访问点解密后的数据包发送至内部 LAN 后也不能保护数据。 因此,802.1X 无法满足端到端加密要求。
虽然 802.1X 不符合所有 Woodgrove 的安全要求,但它仍可用于无线安全。 Microsoft 建议使用 802.1X 确保无线网络的安全并尽可能地为有线网络提供访问控制。 有关如何使用 802.1X 的详细信息,请参阅 Microsoft 网站上的“Wi-Fi”页面,网址为 http://www.microsoft.com/wifi。
IPSec:
IPsec 是 Internet 协议的 IETF 标准安全协议。 它提供一般的、基于策略的 IP 层安全机制,此安全机制特别适合提供逐个主机身份验证。 IPsec 策略被定义为具有控制主机上的入站和出站 IP 通信流的安全规则和设置。 通过使用组策略对象将策略分配给域成员可在 Active Directory 中集中管理策略。 IPsec 提供在主机间建立安全通信的能力。 IPsec 使用 Internet 密钥交换 (IKE) 协商协议来协商两个主机间的选项如何使用 IPsec 进行安全通信。 两台主机对如何使用定义此协商的 IPsec 和各种参数进行通信而达成的协议称为“安全关联”或 SA。 IKE 协商建立一个主模式 SA(也称为 ISAKMP SA)和一对快速模式 SA(称为 IPsec SA,一个用于入站通信流,另一个用于出站通信流)。 要建立主模式 SA,IKE 要求进行相互身份验证。 Windows IKE 可使用以下三种方法之一:
• Kerberos V5 身份验证协议
• 使用相应的公共和私有 Rivest、Shamir 和 Adleman (RSA) 密钥对的 X.509 数字证书
• 预共享密钥(密语,不完全是密码)
不部署 IPsec 最常见的原因是误认为它需要通常很难部署的公钥基础结构 (PKI) 证书。 为了不需要 PKI,Microsoft 将 Windows 2000 域身份验证 (Kerberos) 集成在 IKE 协商协议中。
Windows IKE 协商可被配置为允许与不回应 IKE 协商请求的计算机通信。 此功能被称为“回退到使用明文”并且在部署 IPsec 期间很有必要。 只在受信任主机发出连接请求时才允许受信任主机与不受信任计算机和设备进行会话的常规操作很有用。 IPsec 使用术语“软安全关联”来描述使用验证标头 (AH) 或封装式安全措施负载 (ESP) 格式 IPsec 都无法保护的通信。 IPsec 记录与包含目标 IP 地址的安全日志成功审核的通信并监视通信流的活动。 当空闲一段时间(默认为 5 分钟)后通信流停止时,建立新的出站连接时要求重新尝试协商安全。
官方解释:IPsec 规则确定了 IPsec 必须对哪类通信流进行检查;是允许通信流、阻止通信流还是协商安全性;如何对 IPSec 对等方进行身份验证;以及其他设置。配置 IPsec 规则时,我们可以配置筛选器列表,该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式(传输模式或隧道模式)。 IPsec 规则通常是针对特定用途(例如,“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”)配置的。一个IPSec安全策略由IP筛选器和筛选器操作两部分构成,其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注,筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略,一般需要新建IP筛选器和筛选器操作。例如:阻止局域网中IP为“192.168.0.251”的机器访问本机,配置如下
创建所需的规则,然后把这些创建的规则应用到上述策略上;右键点击“IP安全策略,在本地计算机”,在菜单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页,
切换到“管理筛选器操作”标签页,新建一个阻止操作:
将所创建的规则应用到第一步的“IPSec安全策略”上,先右击“阻止251机器与我通信”IP安全策略规则。单击“属性”:
IPsec 不支持出站通信流的状态筛选,不管是 AH 或 ESP 安全关联内的通信流,还是涉及软 SA 的明文通信流。 因此,当您对服务器和域隔离使用此处介绍的 IPsec 策略设计时,受信任主机可接收从不受信任计算机到通过软 SA 的任何打开的端口的入站连接。 这是一个易受攻击的漏洞。 但按照设计,它也支持协商打开的端口接收入站连接的某些协议。 使用基于主机的防火墙产品(如 Windows 防火墙)除了可添加 IPsec 保护,还可添加出站连接的状态筛选。 由 IPsec AH 或 ESP 保护的未加密的网络通信流不认为是明文格式,因为它针对哄骗和修改提供身份验证和保护。
由于 IPsec 以安全形式封装普通 IP 数据包,因此在遍历网络时数据包不再显示为传输控制协议 (TCP) 和用户数据报协议 (UDP) 数据包。 试图在 Woodgrove Bank 内部部署 IPsec 可确定大多数网络管理工具都假定应用程序可被其 TCP 或 UDP 端口号轻松识别(例如,电子邮件通信流的端口 25 和 Web 通信流的端口 80)。 使用 IPsec 时,通信流变得不透明,并且路由器和网络入侵检测系统无法辨别正在使用哪个应用程序或哪个应用程序检查数据包中的数据。 这一因素产生了一个网络管理问题,因为它降低了当前用于通信流监视、安全筛选、加强公平队列和服务质量分类的工具的值。
遗憾的是,有关通信流可见性的假定不完全准确,并且很快就会过时,即使没有 IPsec 的时候也是如此。 端口号和应用程序之间的关系越来越弱。 例如,可在任意端口号上运行 Web 服务器并且在站点的 URL 中记录此端口号。 通过在备用端口号上运行邮件服务器也可省去一些 Internet 服务提供商 (ISP) 的电子邮件筛选工作。 许多对等 (P2P) 应用程序可灵活使用端口;即它们使用随意挑选的端口号来试图避免检测。 基于远程过程调用 (RPC) 服务的应用程序也可灵活使用端口,因为 RPC 服务在各种服务的受限范围内(1024 以上)可随意挑选端口。
频繁使用 Web 服务很可能会加大通信标识问题,因为这些服务的通信流使用端口 80 或端口 443 在 HTTP 或 HTTPS 的顶部运行。 然后客户端和服务器使用 HTTP URL 来标识通信流。 移至 Web 服务体系结构的所有应用程序将显示为传输到路由器的单个无差别的数据流,因为这些 Web 服务的通信流将在一个端口或少量端口上运行,而不是每个应用程序或服务在其自己的离散端口号上运行。 对 HTTPS 连接和 RPC 加密使用 SSL 和 TLS 降低作为防御攻击的基于网络的检查的值。 由于网络管理应用程序仍然可以分析数据包的地址并且对于所有其他不是 IPsec 保护的通信流仍具有可见性,因此 Woodgrove 确定某些网络管理功能的丢失不足以影响此项目的规划。 此外,某些网络管理工具供应商愿意修改他们的工具以便检查内部无加密形式的 IPsec 数据包。
大多数基于主机的应用程序不需要修改便可与 IPsec 一起正常使用以确保 IP 地址间的所有通信流的安全。 由于在其他网络服务上存在网络攻击的风险,因此本解决方案不尝试仅对特定应用程序或协议使用 IPsec。 如果应用程序与 IPsec 无法一起正常工作,则管理员可选择允许此通信流不受基于服务器使用的 IP 地址的 IPsec 的保护。 建议不允许应用程序使用已知端口,因为这样做会产生一个静态入站漏洞供攻击者建立与任何打开的端口的入站连接,从而达不到隔离目的。 使用动态分配的端口的应用程序必须受 IPsec 的保护。 使用多播和广播 IP 地址的应用程序与服务器和域隔离的 IPsec 设计配合使用时可能会出现问题。 Windows IPsec 支持允许所有多播和广播通信流的功能,但对于某些类型不支持。 如果出现应用程序的兼容性问题,则应与供应商一起研究确定是否(或何时)可提供修复程序或升级以解决此问题。 如果应用程序无法升级或用兼容的应用程序替换,则必须使用此应用程序的计算机可能无法参与隔离域或组。
除其身份验证功能外,IPsec 还可为主机通信提供两个其他有用的服务:确保地址完整性和加密网络通信流。
•
确保地址完整性。 IPsec 可使用 AH 为每个数据包提供数据和地址完整性。 Windows AH 使用 Windows IPsec 驱动程序中的密钥哈希机制。 使用 AH 可避免发生重放攻击,并通过确认每个接收到的数据包在成功接收到之前从发送时间起未经过修改提供强完整性。 AH 在通过执行网络地址转换 (NAT) 的设备时无法正常工作,因为 NAT 替代了 IP 标头中的源地址,从而违背了 AH 提供的安全。
•
加密网络通信流。 IPsec 可确保数据完整性和机密性,方法是使用 IP 协议的封装式安全措施负载 (ESP) 选项进行加密。 虽然 ESP 不提供地址完整性(除非与 AH 配合使用),但使用 UDP 封装可使它成功遍历 NAT 设备。 如果利用使用 NAT 的设备对内部网络分段,则 ESP 是合理的选择,因为 ESP 不会强制加密数据包。 Windows IPsec 支持确定将 ESP 与空加密 (ESP/null) 配合使用的 RFC 2410。 ESP/null 允许数据的真实性、完整性和反重放不需要加密。 Windows Server 2003 网络监视器能够分析公开普通 TCP/IP 上层协议的未加密的 ESP。 如果使用 ESP 加密,则只在计算机使用首先解密传入数据包的 IPsec 硬件加速网卡时才可能监视数据包。
注:使用加密的 ESP 或使用空加密的 ESP 提供与身份验证的强 IPsec 对等关系,就象 AH 一样。 它还提供重放保护并可正确遍历 NAT 设备。 基于这些原因,Woodgrove 决定不实施 AH,而只将 ESP/null 和 ESP 与其公司网络上的加密配合使用。
IPsec 的工作模式有两种 — 隧道模式或传输模式:
•
IPsec 传输模式。 IPsec 传输模式是确保端到端主机间的通信流的安全而建议使用的方法。 IPsec 驱动程序仅在原始 IP 标头后插入 IPsec 标头。 原始 IP 标头已保留下来,并且其余的数据包经 AH 或 ESP 加密处理也保存下来。 IPsec 筛选器控制什么通信流被 IPsec 阻止、允许或封装。 IPsec 筛选器指定源和目标 IP 地址(或子网)、协议(如 ICMP 或 TCP)及源和目标端口。 这样,筛选器就可非常准确地应用于一台计算机或可应用于所有可能的目标地址和协议。 传输模式旨在通过自动更新使用“我的 IP 地址”配置的筛选器来适应动态 IP 地址,比较 IPsec 隧道模式,其开销更低且总体上更易于使用。 因此,IKE 协商传输模式是授权入站 IPsec 保护的连接的有效方式。 使用 IPsec 传输模式的问题包括:
•
初始延迟。 IKE 启动和完成整个成功协商需要 1 到 2 秒的初始延迟。 继续通信时,IKE 尝试刷新自动保护通信的密钥。
•
为筛选器预定义的优先级顺序。 IPsec 策略筛选器可重叠,因此预定义了一个优先级顺序,最特殊的筛选器排在首位。 这要求通信双方都有一组兼容的 IPsec 传输模式筛选器用于 IKE 协商。 例如,本解决方案对协商 IPsec 安全的“所有通信流”使用较普通的筛选器,同时使用较特殊的筛选器以便允许仅 ICMP 通信流,而不是使用 IPsec 确保此通信流的安全。
•
计算费用。 IPsec ESP 传输模式加密很费计算机资源。 加密文件副本时,CPU 利用率可高达百分之八十到百分之百。 Windows 2000、Windows XP 和 Windows Server 2003 都配有网卡接口可加速硬件中的 IPsec 加密操作。
•
IPsec 隧道模式。 IPsec 隧道模式通常用于 VPN 网关的静态 IP 地址间的网关对网关 VPN 隧道。 因此,隧道模式创建了带有 IPsec 标头的新 IP 标头。 带有原始 IP 标头的原始数据包被完全封装为组成一个隧道数据包。 对于服务器和域隔离方案,隧道模式可用于确保从静态 IP 服务器到支持 IPsec 的路由器的通信流的安全。 这在目标主机不支持 IPsec 时很有必要。 Woodgrove 没有需要隧道模式的方案。
有关 IPsec 中的传输模式和隧道模式的技术详细资料的更多信息,请参阅 Windows Server 2003 部署工具包“Deploying Network Services”部分中的“Deploying IPsec”一章的“Determining Your IPSec Needs”一节,网址为 www.microsoft.com/resources/documentation/
WindowsServ/2003/all/deployguide/
en-us/dnsbj_ips_wclw.asp。
主机授权
主机确定接收到的通信是来自可验证源之后,需确定是否允许访问源计算机和用户。 此步骤很重要,因为设备能够进行验证的事实并不保证也允许它访问给定的主机。
Microsoft 推荐的方法是使用标准 Windows 组限制用户和计算机访问设计中其他计算机上的资源。 此方法通过使用被访问主机上的本地策略的用户权限分配上的权限,为网络和应用程序级别的计算机帐户和用户帐户建立新的授权层。 使用“从网络访问此计算机”(允许)和“拒绝从网络访问这台计算机”(拒绝)用户权限分配,可限制计算机和用户访问资源,即使它们共享公共 IPsec 策略参数并且登录的用户有权访问此资源。 这个额外级别的控制对于本解决方案描述的隔离方法是至关重要的。
Active Directory 的组功能通过这样的方式来组织计算机和用户:允许以可管理和可扩展的方式分配所需的授权级别。 为了帮助区分为从那些标准共享访问权限中获取主机访问权限而特别创建的组,本指南使用术语“网络访问组”。
用户和主机授权过程
1.用户尝试访问部门级服务器上的共享。 登录到客户端计算机上的用户尝试访问逻辑隔离解决方案中的受信任主机上的共享。 此操作导致客户端计算机试图使用文件共享协议(通常是使用 TCP 目标端口 445 的服务器消息块协议)连接到受信任主机上。 客户端将 IPsec 策略作为本解决方案的一部分分配。 出站 TCP 连接请求引发到服务器的 IKE 协商。 客户端 IKE 包含验证服务器的 Kerberos 票证。
2.IKE 主模式协商。 服务器接收到来自客户端计算机的初始 IKE 通信请求之后验证 Kerberos 票证。 在身份验证过程中,IKE 检查客户端计算机是否具有所需的主机访问权限,如在组策略中的“允许”或“拒绝”用户权限中分配的权限。 如果客户端计算机具有所需的用户权限分配,则 IKE 协商完成,并且建立 IPsec 主模式 SA。
3.IPsec 安全模式协商。 IKE 主模式 SA 协商完成后,通过使用两台主机都接受的 IPsec SA 的安全措施检查 IPsec 策略的安全措施以协商连接。
4.为用户检查用户主机访问权限。 建立 IPsec 保护的通信之后,SMB 协议使用客户端用户帐户进行验证。 在服务器上检查用户帐户是否具有所需的主机访问权限,如在组策略中的“允许”和“拒绝”用户权限中为受信任主机分配的权限。如果用户帐户具有所需的用户权限分配,则过程完成,并且创建用户登录令牌。 此过程完成后,逻辑隔离解决方案即结束了安全检查。
5.检查共享和文件访问权限。 最后,服务器检查标准 Windows 共享和文件访问权限以确保用户是具有访问用户请求访问的数据所需的权限的组的成员。
使用网络访问组可在本解决方案中实现极高级别的控制。
以下方案提供了逻辑隔离解决方案中的步骤如何操作的一个实例:
开会时,承包商将她的移动计算机插入会议室中的网络连接点以便将一些数据复制到员工的 HR 服务器上的共享中。 HR 部门的成员 Donna 为承包商提供 HR 服务器上的共享路径。 因为承包商的计算机不是已知或受信任主机,IT 部门无法管理此计算机,并且移动计算机上的安全措施级别也未知。 所以这些文件可能包含会感染内部计算机的恶意软件。 承包商的计算机试图连接到 HR 服务器时,计算机在过程中的步骤 2 上出现问题。 计算机无法协商 IKE 主模式 SA,因为移动计算机无法提供所需的 Kerberos 票证以允许检查计算机的凭据;它不是受信任域的一部分。 包含 HR 服务器的隔离组的 IPsec 策略要求不允许该服务器与不使用 IPsec 的主机通信,这样来自这台不受信任计算机的所有通信尝试会被阻止。 总之,逻辑隔离解决方案帮助保护 IT 基础结构免遭不受信任和无人管理计算机的威胁,即使那些计算机可以对内部网络进行物理访问。
此示例解释了如何在逐个主机基础上实现隔离。 本解决方案的另一个重要要求是以较低的管理成本实现隔离。 可通过对用户分组使用的相同的方式对计算机分组,然后在每台计算机的本地策略中对那些组分配“允许”或“拒绝”用户权限分配。 但如果不使用组策略和 Active Directory 的集中管理功能并且未充分理解所需的通信路径,则很难管理此方法,也无法很好地扩展此方法。 此外,此方法本身不能提供强身份验证或加密数据的能力。 当这些主机访问权限与 IPsec 配合使用并且主机被组织到隔离组中时,就很容易理解各分组间的关系并轻松定义通信路径(在已明确记录要求之后)。 有关隔离组的设计和框架的详细信息,
服务器和域隔离是关于限制计算机如何相互通信及限制试图发起通信的设备。 这些限制或边界用于通过描述设备受信任级别来限制通信。 通过使用 IPsec 策略在主机周围设置身份验证、授权及网络位置等边界是缓解许多威胁的有效方式。 虽然 IPsec 是不完全安全的策略,但它在整个安全策略中提供了一层额外的防御。
方案实施
设计和规划隔离组
实现方式:使用 IPsec 与组策略隔离服务器和域;
方案:该解决方案使用 Active Directory® 目录服务域中的计算机身份组合、IPsec 策略来验证此身份,使用 Microsoft® Windows® 的安全策略来定义和实施隔离组。使用隔离组的概念,在内部网络中以一种对于应用程序是透明的安全方式来管理网络通信量。 该功能可显著降低以网络为载体的感染和攻击所带来的损害的威胁。IPsec可与其他安全设置组合,以构建详细的、可管理的、可伸缩的服务器和域隔离解决方案。
……未完待续
借鉴:https://blog.csdn.net/freexploit/article/details/548639,感谢技术分享。
1236
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
