Захист доступу до мережі

У наш час слід приділяти велику увагу забезпеченню безпеки в своїй організації. Якщо у вас маленька компанія, яка складається з п'яти комп'ютерів з клієнтськими операційними системами без серверної інфраструктури, то ви можете стати легкою здобиччю для зловмисників. У середніх і великих компаніях крім захисту інфраструктури за допомогою антивірусного програмного забезпечення, брандмауерів, шифрування та іншого, доцільно розгортати сервери захисту доступу до мережі. У першій статті, присвяченій технології «Захист доступу до мережі» було розказано про типові сценарії забезпечення безпеки інфраструктури організації, а також коротко було розглянуто призначення технології NAP, агентів і політики працездатності. Крім цього я вказав п'ять технологій, до яких можна застосовувати політики працездатності захисту доступу до мережі для забезпечення додаткового захисту компанії. Як я вже згадав в попередній статті, захист доступу до мережі є платформою для перевірки працездатності систем, що надає двосторонню захист, як для клієнтських комп'ютерів, так і для мережі організації, шляхом забезпечення відповідності підключаються до мережі комп'ютерів, тим вимогам організації, які вказані в політиках мережі і працездатності клієнта.

Але цю технологію неможливо розгорнути в організації, в якій ще не спланована і не розгорнута ніяка мережева інфраструктура. Перед тим як розгортати сервера захисту доступу до мережі, вам необхідно ретельно спланувати і розгорнути такі технології як доменні служби Active Directory, групові політики, інфраструктуру відкритого ключа, а також протокол Radius (Remote Authentication Dial-In User Service). Зрозуміло, в залежності від технології, до якої повинна застосовуватися захист доступу до мережі, вам потрібно буде спланувати і розгортати інші технології, такі як DHCP-сервер або сервери віддалених робочих столів (раніше відомі, як термінальні сервера). У цій статті мова піде про основні вимоги та рішеннях, які необхідно розгорнути в організації до розгортання технології «Захист доступу до мережі», а саме, коротко будуть розглянуті таких технології як доменні служби Active Directory, групові політики, інфраструктура відкритого ключа, а також протокол RADIUS.

Доменні служби Active Directory

Доменні служби Active Directory не були б основною роллю інфраструктури безпеки, якби відповідали тільки за ідентифікацію і доступ об'єктів мереж компанії. Крім зазначеної вище ключового завдання, Active Directory підтримує:

• певну схему. яка являє собою набір правил, що визначають класи об'єктів і атрибути, що містяться в каталозі, а також обмеження, межі для примірників цих об'єктів, формат їх імен та багато іншого. Варто відзначити, що всі об'єкти в доменних службах Active Directory вважаються екземплярами класу;
• служби реплікації. які поширюють дані каталогів по мережі організації, включаючи сховище даних, конфігурації та інше. Всі контролери домену в рамках свого домену є учасниками реплікації і містять повну копію всієї інформації каталогу для свого домену;
• господарів операцій - контролери домену, виконують певну роль, яка призначається лише одного контролера домену. Використання операцій з єдиним майстром запобігає виникненню конфліктних ситуацій в тих випадках, коли майстер операції відключений. Майстер ролі (Flexible Single Master Operation, FSMO) повинен бути доступний в той час, коли на рівні домену або лісу виконуються залежать від нього дії. Доменні служби Active Directory містять п'ять ролей майстрів операцій, які можуть бути визначені під час установки контролера домена Active Directory;
• глобальний каталог (Global Catalog або GC), який представляє собою репозиторій розподілених даних, що зберігає неповну репліку тільки для читання про кожен об'єкт, а також полегшує пошук в лісі Active Directory. Глобальний каталог зберігається на контролерах домену, які призначені в якості серверів глобального каталогу і розповсюджується за допомогою реплікації з безліччю рівноправних учасників.

Крім цих можливостей можна відзначити такі можливості як делегування адміністративних повноважень, контролери домену з правами тільки для читання, довірчі відносини між доменами і багато іншого.

групова політика

У будь-якій організації системні адміністратори зобов'язані забезпечити своїх користувачів і комп'ютери свого підприємства безпечними налаштуваннями, якими можна централізовано керувати і розгортати. Зазвичай в організаціях вся конфігурація визначається, оновлюється і поширюється безпосередньо за допомогою об'єктів групової політики. Саме об'єкти групової політики дозволяють вам раціонально управляти всією інфраструктурою вашого підприємства, починаючи від незначних підрозділів і закінчуючи сайтами і доменами.

Групові політики - це набір правил, що забезпечують інфраструктуру, в якій адміністратори локальних комп'ютерів і доменних служб Active Directory можуть централізовано розгортати і керувати налаштуваннями користувачів і комп'ютерів в організації. Всі настройки облікових записів, операційної системи, аудиту, системного реєстру, параметрів безпеки, установки програмного забезпечення та інші параметри розгортаються і оновлюються в рамках домена за допомогою параметрів об'єктів групової політики GPO (Group Policy Object). Групові політики є компонентом операційної системи Windows і ґрунтуються на тисячах окремих параметрів політик, інакше кажучи, політик, що визначають певну конфігурацію для свого застосування.

Інфраструктура відкритого ключа

Інфраструктура відкритого ключа (Public Key Infrastructure, PKI) є найскладнішою і вимагає максимальної відповідальності технологією, пов'язаною з розгортанням серверів захисту доступу до мережі. Інфраструктура PKI являє собою систему цифрових сертифікатів, центрів сертифікації, а також інших центрів реєстрації, що надають всім учасникам ключі шифрування і послуги з їх аутентифікації. Ця інфраструктура ґрунтується на наборі технологій, що надають для організацій можливості використання шифрування на підставі відкритих ключів, де пов'язані пари складаються з відкритого і закритого ключа, що використовуються для шифрування і розшифровки. Така ситуація, коли потрібні два ключа, називається асиметричним шифруванням. У цьому випадку, як було відмічено раніше, перший ключ є закритим або секретним, тобто, безпечно записала користувачем, для якого був випущений сам цифровий сертифікат, а другий ключ - відкритий, який будуть бачити інші особи і комп'ютерів. Відповідно, дані, зашифровані одним ключем, повинні розшифровуватися тільки іншим ключем. Але, не дивлячись на те, що для інфраструктури відкритого ключа потрібне використання відкритого і закритого ключа, варто пам'ятати, що в сертифікаті застосовується тільки відкритий ключ, що дозволяє йому бути загально розподіленим і доступним для перевірки. А сам секретний ключ зберігається лише на локальному комп'ютері або в ключі-додатку (в операційних системах Windows, секретні ключі зберігаються в профілях користувачів).

Зараз інфраструктура відкритого ключа застосовується практично в кожній організації. Самі цифрові сертифікати можуть бути використані для надання безпечних комунікацій на веб-сайтах, для шифрування електронної пошти, для захисту бездротових комунікацій, файлової системи шифрування, віртуальних приватних мереж і багато чого іншого. Цілком очевидно, що для реалізації такої складної технології в організації необхідно ретельно планувати, розгортати і контролювати таку інфраструктуру. У Windows-системах за реалізацію технології інфраструктури відкритого ключа відповідає служба сертифікації Active Directory, яку можна назвати обов'язковою частиною структури Active Directory, що надає настроюються послуги видачі сертифікатів відкритого ключа, що використовуються в програмних системах безпеки, які застосовують технології відкритих ключів, і управління цими сертифікатами.

Для самої інфраструктури PKI можна виділити кілька основних компонентів:

Служби сертифікації Active Directory включають підтримку всіх зазначених вище компонентів, а також надають такі можливості як службу мережевого відповідача, приймаючу запити стану відкликання для конкретних сертифікатів, процесу автоматичної реєстрації сертифікатів, архівацію, відновлення ключів і багато іншого.

протокол RADIUS

висновок

Схожі статті

• Налаштування гостьового доступу і wlan в мережі unifi

• Inner effect - серія косметики goldwell для відновлення і захисту кольору волосся

• Механічний захист фар від крадіжки - захист від викрадення доступна всім