2020-08-05
243
Настройка применения возможностей сетевых протоколов безопасности в Windows Server 2016 выполняется при помощи Active Directory, скриптов PowerShell, Групповых политик.
Active Directory - это иерархически организованное хранилище данных об объектах сети, обеспечивающее удобные средства для поиска и использования этих данных. Компьютер, на котором работает Active Directory, называется контроллером домена. С Active Directory связаны практически все административные задачи. Технология Active Directory основана на стандартных Интернет – протоколах и помогает четко определять структуру сети [12].
Домен Active Directory - это группа компьютеров, совместно использующих общую базу данных каталога. Имена доменов Active Directory должны быть уникальными. Если домен является частью закрытой сети, имя, присвоенное новому домену, не должно конфликтовать ни с одним из существующих имен доменов в этой сети. Если домен - часть глобальной сети Интернет, то его имя не должно конфликтовать ни с одним из существующих имен доменов в Интернете. Чтобы гарантировать уникальность имен в Интернете, имя родительского домена регистрируют через любую полномочную регистрационную организацию. Компьютеры в каждом домене используют одинаковую конфигурацию домена и могут являться объектом применения политик и ограничений, устанавливаемых администратором домена. Использование доменов позволяет упростить обеспечение безопасности в масштабе предприятия [13].
|
|
|
В системах Windows помимо доменных существуют и локальные групповые политики. Групповая политика - это набор правил или настроек, в соответствии с которыми производится настройка рабочей среды приёма/передачи (Windows, X-unix и другие операционные системы с поддержкой сети).
Установка и настройка протоколов PPTP, L2TP и L2f выполняется путём установки соответствующих ролей Active Directory в оснастке Server Manager. Данные действия выполняются в случае установки и настройки удалённого доступа (Remote Access) к Windows Server 2016, используя для этого встроенные возможности серверной операционной системы. В зависимости от нужного нам типа роли удалённого доступа выбираем для эксплуатации один из протоколов PPTP, L2TP или L2f. После этого продолжается установка VPN сервера и Direct Acсess [15].
Типичная конфигурация для работы VPN состоит из контроллера домена, серверов RRAS (Routing and Remote Access) и NPS (Network Policy Server). В процессе настройки этих ролей дополнительно будут активированы сервисы DHCP и DNS. Сервер, которому предстоит выполнять роль VPN, перед установкой роли RRAS должен быть присоединен к домену. В отличие от L2TP и SSTP, сертификаты при работе PPTP не нужны, поэтому сервер сертификатов (Certificate Services) не потребуется. Сетевые устройства, которые будут участвовать в построении VPN, должны быть подсоединены и настроены соответствующим образом [17].
|
|
|
Протокол L2TP является более предпочтительным для построения VPN-сетей, нежели PPTP, в основном это касается безопасности и более высокой доступности, благодаря тому, что для каналов данных и управления используется одна UDP-сессия [8].
Для развертывания VPN L2TP-сервера потребуется установленная роль Службы политики сети и доступа, которая должна содержать Службы маршрутизации и удаленного доступа.
В разделе Порты и в свойствах L2TP требуется установить обе галочки Подключения удаленного доступа и Подключения по требованию, максимальное число портов должно соответствовать или превышать предполагаемое количество клиентов. Неиспользуемые протоколы отключаются [16].
Настройка L2TP подключения на клиенте производится стандартными методами, на вкладке Безопасность тип VPN как L2TP с IPsec и во вкладке Дополнительные свойства, необходимо указать использование предварительного ключа и сам ключ.
Для использования протокола IPSec также достаточно работать со встроенными в Windows Server 2016 функциями настройки VPN сервера. Во вкладке IKEv2 настраивается возможность использования IPsec на протяжении всего выделенного канала [13].
При использовании любых защищённых соединений требуется указание пользователей (групп пользователей) которым даётся возможность использовать для подключения по VPN данных протоколов.
Работа протоколов в сетях Windows контролируется встроенным файерволлом, а при выходе за пределы локальной сети, требуется использовать настройку NAT. Работу протоколов PPTP, L2TP, L2f, а также IPSec требуется разрешить в Windows Server Firewall централизовано через AD или GPO [15].
Протоколы SSL v2 и SSL v3 небезопасны, устарелb и не рекомендуется для использования. TLS v1.0 также является устаревшим протоколом, но на практике он все же оказывается необходим. Его основная слабость смягчена в современных браузерах. TLS v1.1 и TLS v1.2 оба не имеют известных проблем с безопасностью, но только v1.2 предоставляет современные криптографические алгоритмы. Установка и настройка протокола TLS выполняется при помощи соответствующих ролей Active Directory в оснастке Server Manager. Обычно протокол TLS устанавливается и настраивается при использовании веб сервера ISS.
Для включения TLS v1.2 на Windows Server 2016 в среде System Center, необходимо обновить службы управления автоматизации (SMA) и поставщик службы (SPF). Данные пакеты обновлений бесплатно скачиваются с cсайта поддержки компании Майкрософт. Выполняя пошаговую инструкцию протокол TLS v1.2 становится доступен для использования в Windows Server 2016 [10].
Для работы с протоколом SSH в Windows Server 2016 необходимо использовать сторонние приложения. Наиболее применимо приложение OpenSSH [17].
Протокол SSH является основным используемым средством для удалённого администрирования сетевых устройств и unix-ОС. Для обеспечения безопасности передачи данных между компьютерами сети, удаленной работы и администрирования операционной системы был разработан сетевой протокол семейства TCP/IP — SSH (Secure Shell — «безопасная оболочка»). Начиная с Windows Server 2016 build 1709, поддержка SSH добавлена в платформу Windows. Для использования её требуется включить. После этого идёт его установка на сервер из установочного файла.
ВЫВОДЫ ПО I ГЛАВЕ
В процессе изучения устройства и настройки сетевых протоколов была изучена учебно-техническая литература.
Сетевые протоколы безопасности используются для защиты компьютерных данных и связи при их передаче по сети. Основным инструментом, используемым для защиты информации при пересылке через сеть криптография
SSH (Secure Shell - «безопасная оболочка») - сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования.
|
|
|
SSL (Secure Sockets Layer - уровень защищённых cокетов) -криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP (Voice over IP - VoIP) в таких приложениях, как электронная почта, интернет-факс и др.
TLS (transport layer security - протокол защиты транспортного уровня), как и его предшественник SSL (secure sockets layer - слой защищённых сокетов), - криптографические протоколы, обеспечивающие защищённую передачу данных между узлами в сети Интернет.
IPsec - это набор протоколов, использующихся для обеспечения сервисов приватности и аутентификации на сетевом уровне. Эти протоколы можно разделить на два класса – протоколы защиты передаваемых данных (AH, ESP) и протоколы обмена ключами (IKE).
