Разграничение доступа к информационным сетям с помощью групповых политик и IPSec. - презентация

1 Разграничение доступа к информационным сетям с помощью групповых политик и IPSec

2 Содержание Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям

3 Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям

4 Защита сетевых коммуникаций: основные требования Основные требования по обеспечению безопасности сетевых коммуникаций: Предотвращение модификации данных при передаче Предотвращение чтения и интерпретации данных при передаче Защита данных от неавторизованных пользователей Защита данных от перехвата и подмены Предотвращение модификации данных при передаче Предотвращение чтения и интерпретации данных при передаче Защита данных от неавторизованных пользователей Защита данных от перехвата и подмены

5 Что такое Internet Protocol Security? Преимущества IPSec: Прозрачен для пользователей и приложений Обеспечивает строго ограниченный доступ к серверам Настраиваемые параметры безопасности Централизованное управление через Active Directory Прозрачен для пользователей и приложений Обеспечивает строго ограниченный доступ к серверам Настраиваемые параметры безопасности Централизованное управление через Active Directory IPSec: Набор открытых стандартов по обеспечению безопасности IP-коммуникаций на основе криптографических методов

6 Режимы работы IPSec IPSec поддерживает два режима работы: Используется для защиты host-to-host коммуникаций Транспорт- ный Используется для защиты трафика между узлом и сетью или между сетями Туннель- ный

7 Транспортный режим End-to-End Host Security Server Isolation

8 Туннельный режим Организация VPN Туннель IPSec Шлюз IPSec Клиент Windows XP FTP-сервер Сайт B Сайт A Шлюз IPSec

9 Принцип работы IPSec TCP Layer IPSec Driver TCP Layer IPSec Driver Защищенные пакеты 3 3 Internet Key Exchange (IKE) 2 2 Политика 1 1 Active Directory

10 Структура политики IPSec Политика IPSec Правила IP filter lists Список фильтров IP filter lists Действия фильтра IP-фильтры Применяется на уровне сайта, домена или подразделения

11 Демонстрация 1: Конфигурация и назначение политики IPSec Сконфигурировать и назначить политику протокола IPSec

12 Использование IPSec для разграничения доступа к сетям Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям

13 Что означает разграничение доступа к сетям? Преимущества защиты на уровне логической изоляции данных: Дополнительный уровень безопасности Контроль доступа к определенной информации Предоставление доступа доверенным системам Защита от вредоносных программ Механизм шифрования передаваемых данных Дополнительный уровень безопасности Контроль доступа к определенной информации Предоставление доступа доверенным системам Защита от вредоносных программ Механизм шифрования передаваемых данных Разграничение доступа к сетям: Возможность разрешить или запретить определенные типы сетевого доступа между компьютерами из одной IP-подсети

14 Доверенные компьютеры Доверенный компьютер: Управляемое устройство, отвечающее минимальным требованиям безопасности Ненадежный компьютер: Устройство, не отвечающее минимальным требованиям безопасности в силу неуправляемости или отсутствия централизованного контроля

15 Цели, достигаемые разграничением доступа к сетям Разграничение доступа к сетям поможет достичь следующих целей: Изолировать доверенные компьютеры домена от ненадежных устройств на сетевом уровне Гарантировать доступ к доверенным системам только устройствам, удовлетворяющим требованиям безопасности Обеспечить обработку входящего трафика только от строго определенных групп доверенных компьютеров Сфокусировать и приоритезировать проактивный мониторинг Сконцентрировать усилия на доверенных системах, к которым необходим доступ с ненадежных устройств Ускорить процессы восстановления после атак Изолировать доверенные компьютеры домена от ненадежных устройств на сетевом уровне Гарантировать доступ к доверенным системам только устройствам, удовлетворяющим требованиям безопасности Обеспечить обработку входящего трафика только от строго определенных групп доверенных компьютеров Сфокусировать и приоритезировать проактивный мониторинг Сконцентрировать усилия на доверенных системах, к которым необходим доступ с ненадежных устройств Ускорить процессы восстановления после атак

16 Неизбежные риски Проблемы, которые не решаются логической изоляцией: Доверенные пользователи раскрывают данные Компрометация учетных данных пользователей Доступ между ненадежными компьютерами Злоупотребление доверенных пользователей своим доверенным статусом Ошибки в системах безопасности доверенных компьютеров Компрометация доверенных систем другими доверенными системами Доверенные пользователи раскрывают данные Компрометация учетных данных пользователей Доступ между ненадежными компьютерами Злоупотребление доверенных пользователей своим доверенным статусом Ошибки в системах безопасности доверенных компьютеров Компрометация доверенных систем другими доверенными системами

17 Разграничение доступа к сетям и уровни сетевой безопасности Политики и процедуры Физическая защита Приложения Компьютер Внутренняя сеть Периметр Данные Логическая изоляция данных

18 Реализация разграничения доступа к сетям Основные компоненты решения: Компьютеры, соответствующие минимальным требованиям безопасности Доверенные узлы Использование IPSec для аутентификации и шифрования данных Аутентифика- ция узла Членство в группах и списки управления доступом Авторизация узла

19 Контроль доступа с применением IPSec и групп сетевого доступа (NAG) Логическая изоляций данных Взаимодействие на уровне компьютеров (IPSec) Права доступа к узлу IPSec Policy 2 2 Права доступа к папке Group Policy Dept_Computers NAG Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec

20 Контроль доступа с применением групп сетевого доступа (NAG) Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec Шаг 4: Проверка прав доступа к узлу Шаг 5: Проверка прав доступа к папке Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec Шаг 4: Проверка прав доступа к узлу Шаг 5: Проверка прав доступа к папке Логическая изоляций данных Взаимодействие на уровне компьютеров (IPSec) Права доступа к узлу IPSec Policy Group Policy Dept_Computers NAG 4 4 Dept_Users NAG Права доступа к папке 5 5

21 Демонстрация 2: Применение групп сетевого доступа Конфигурация групп сетевого доступа для повышения безопасности

22 Сценарии разграничения доступа к сетям Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям

23 Проектирование разграничения доступа к информационным сетям Процесс проектирования включает в себя: Проектирование основных групп Создание списков исключений Планирование групп компьютеров и NAG Создание дополнительных групп изоляций Моделирование трафика Настройка членства в группах компьютеров и NAG Проектирование основных групп Создание списков исключений Планирование групп компьютеров и NAG Создание дополнительных групп изоляций Моделирование трафика Настройка членства в группах компьютеров и NAG

24 Проектирование основных групп Ненадежные системы Изолированный домен Граничная группа

25 Создание списков исключений Причины занесения узла в список исключений: Узел, не поддерживающий IPSec, должен быть доступен для доверенных систем На узле запущено приложение, некорректно работающее при включении IPSec На узле наблюдаются проблемы с производительностью Узел является контроллером домена Узел, не поддерживающий IPSec, должен быть доступен для доверенных систем На узле запущено приложение, некорректно работающее при включении IPSec На узле наблюдаются проблемы с производительностью Узел является контроллером домена

26 Планирование групп компьютеров и NAG Группы компьютеров: Содержат членов из одной группы изоляции Используются в GPO для настройки заданных параметров безопасности Содержат членов из одной группы изоляции Используются в GPO для настройки заданных параметров безопасности Группы сетевого доступа: Бывают двух типов: «Разрешить», «Запретить» Используются в GPO для предоставления или запрета доступа Бывают двух типов: «Разрешить», «Запретить» Используются в GPO для предоставления или запрета доступа

27 Создание дополнительных групп изоляции Возможные причины создания дополнительных групп: Требования к шифрованию Альтернативные требования к сетевому трафику Требования ограниченного доступа для компьютера или пользователя Требования к шифрованию Альтернативные требования к сетевому трафику Требования ограниченного доступа для компьютера или пользователя Изолированный домен Граничная группа Изоляция с шифрованием Спец. требования Ненадежные системы

28 Моделирование трафика Доверенные устройства Изолированный домен Граничная группа Ненадежные устройства Списки исключений IPSec Нешифрованный трафик

29 Настройка членства в группах компьютеров и NAG На последнем этапе определяется членство в созданных группах: Поместите компьютеры в группы, основываясь на требованиях к свойствам соединения Членство в группах компьютеров Поместите пользователей и компьютеры в группы в соответствии с требуемыми разрешениями Членство в NAG

30 Демонстрация 3: Применение групп изоляций Применить изоляцию, используя компьютерные группы безопасности

31 Дополнительные вопросы Дополнительно необходимо учесть: Максимальное количество одновременных IPSec- соединений (для серверов) Максимальный размер маркера доступа для узлов, использующих IPSec Максимальное количество одновременных IPSec- соединений (для серверов) Максимальный размер маркера доступа для узлов, использующих IPSec

32 Предварительный анализ Перед внедрением логической изоляции данных следует проанализировать: Наиболее интенсивно используемые устройства Несовместимые устройства Схему IP-адресации Изолируемые компьютеры Изолируемые службы Использование сетевой балансировки и кластеров Наиболее интенсивно используемые устройства Несовместимые устройства Схему IP-адресации Изолируемые компьютеры Изолируемые службы Использование сетевой балансировки и кластеров

33 Итоги Внедряйте IPSec для аутентификации устройств и шифрования трафика Используйте для логической изоляции IPSec в сочетании с групповыми политиками и группами Используйте граничные зоны в качестве отправной точки при внедрении групп изоляций на базе IPSec Применяйте дополнительные группы для изоляции ресурсов и обеспечения требуемой конфигурации

34 Дополнительная информация Мероприятия Microsoft по безопасности: Подписка на информационный бюллетень по безопасности: Дополнительные утилиты и материалы: Дополнительные курсы:

35 Вопросы и ответы