Использование IPSec в Windows 200x

Максим Костышин

После внедрения программных продуктов, предполагающих элементы сетевого взаимодействия, часто приходится сталкиваться с тем, что разработчики не уделили должного внимания вопросам обеспечения конфиденциальной передачи данных по физическим линиям, которые образуют канал связи между взаимодействующими компьютерами. Общим решением такого рода проблем может являть создание VPN-соединений на основе имеющихся международных стандартов. Указанная возможность реализована в операционной системе Windows200x/XP.

Информация, изложенная в данной статье, предназначена для тех, кого интересуют вопросы реализации защиты информации с использованием VPN-каналов на основе IPSec-протокола. Протокол IPSec и его составляющие закреплены в группе рекомендаций RFC (Request for Comments) 2401 – 2412, опубликованных в ноябре 1998 года. Описание конкретных решений позволит от рассмотрения теоретических аспектов виртуальных приватных сетей перейти к практическим моментам их использования. Пользователи операционной системы Windows 200x/XP, следуя подробным инструкциям, приведенным в статье, смогут реализовать защищенную связь между компьютерами.

Справедливости ради следует отметить, что подобные решения имеются и могут быть использованы на других платформах, между различными операционными системами.

Для компьютеров, на которых невозможно установить ОС Windows200x/XP, можно применять средство PGPnet Virtual Private Networking. В качестве примера взаимодействия реализации стандарта IPSec на различных операционных системах может быть предложен вариант использования IPSec-протокола между Windows 2000 и операционной системой семейства UNIX FreeBSD (см. статью Станислава Лапшанского «IPSec-соединение между FreeBSD и Windows 2000» – http://www.opennet.ru/base/net/bsd_win_vpn.txt.html).

В недавно представленной Microsoft для широкой публики Windows 2003, подходы по организации защищенного соединения на основе IPSec не претерпели (по крайней мере, видимых) существенных изменений и абсолютно совместимы с Windows 2000.

В изложенном материале для большей наглядности приводятся иллюстрации для русской версии Windows 2000 Professional, однако названия пунктов меню, окон и др. элементов интерфейса приводятся как для русского, так и для англоязычного интерфейса.

До начала рассмотрения практических вопросов отметим, что для операционной системы Microsoft Windows 2000 рекомендуется обеспечение поддержки 128-битного шифрования данных. Для этого должны быть установлены либо Service Pack 2 для Windows 2000, либо High Encryption Pack.

Service Pack 2 можно загрузить с сервера Microsoft: http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp.

High Encryption Pack можно загрузить с сервера Microsoft: http://www.microsoft.com/windows2000/downloads/recommended/encryption.

Обращаем внимание на то, что для возможности внесения изменений в настройки Windows, описанные ниже, пользователь должен иметь права администратора.

Подход, предлагаемый Microsoft для использования межкомпьютерных соединений по протоколу IPSec в домене

После стандартной инсталляции Windows 200x/XP в операционной системе предлагаются три варианта настройки для организации защищенного IP-канала – политики безопасности IPSec (см. рис. 1) в рамках одного домена:

n  Сервер (Server) – для всего трафика IP всегда запрашивает безопасность с помощью доверия Kerberos. Разрешает небезопасную связь с клиентами, которые не отвечают на запрос;

n  Безопасность сервера (Secure Server) – для всего IP-трафика всегда запрашивает безопасность с помощью доверия Kerberos. Не разрешает небезопасную связь с недоверенными клиентами;

n  Клиент (Client) – обычная связь (небезопасная). Использует правило ответа по умолчанию для согласования с серверами, запрашивающими безопасность. Только запрошенный протокол и трафик с этим сервером будут безопасными.

Рисунок 1. Оснастка «Управление политикой безопасности IP», используемая для настройки в Windows IP-безопасности (IPSec)

После установки операционной системы ни одна из политик не назначена. Пользователь может активизировать (назначить) одну и только одну из существующих политик.