- •1.1Общие типы сетевых атак Прослушивание
- •Изменение данных
- •Подмена идентификации (подмена ip-адреса)
- •Атаки на пароли
- •Атаки на службу
- •Атаки «третьего»
- •Атаки с подбором ключа
- •Атаки с использованием средств прослушивания
- •Атаки на уровне приложений
- •3. Использование протокола ipSec (Internet Protocol Security)
- •3.1 Основные сведения о политике безопасности ipSec
- •3.2 Типы протокола ipSec и компоненты ipSec
- •3.3 Работы ipSec
- •4. Виртуальные частные сети и ipSec
- •L2tp и ipSec
- •Туннелирование ipSec
- •4.1 Описание политики ipSec
- •4.2 Общие параметры политики ipSec
- •4.3 Параметры обмена ключами
- •Время жизни ключа
- •4.4 Методы обмена ключами
- •Группы Диффи-Хелмана
- •4.5 Правила
- •Правило отклика по умолчанию
- •5. Советы и рекомендации
- •6. Наблюдение за действиями политики ipSec
4.2 Общие параметры политики ipSec
Общие параметры для политики IPSec состоят из следующих типов.
Имя
Имя политики.
Описание
Необязательный текст, описывающий назначение политики IPSec. Рекомендуется указать и обновлять описание, предоставляя в нем краткую сводку параметров и правил политики.
Интервал опроса политики на предмет ее изменения
Число минут между последовательными опросами политик IPSec на основе Active Directory для выявления изменений. При таком опросе не обнаруживаются изменения членства в домене или в подразделении, а также назначение или отмена назначения новой политики. Эти события регистрируются при поиске изменений в групповой политике службой Winlogon, который выполняется каждые 90 минут.
Параметры обмена ключами
Способ создания новых ключей и частота их обновления.
Методы обмена ключами
Способы защиты учетных данных при обмене ключами.
Параметры и методы обмена ключами, используемые по умолчанию, настроены для работы с большинством реализаций IPSec. При отсутствии специальных требований безопасности изменять параметры по умолчанию не следует.
4.3 Параметры обмена ключами
Ниже описаны приемы, позволяющие повысить стойкости ключей, защищающих этап обмена ключами.
Время жизни ключа
Параметры времени жизни задают периодичность создания нового ключа. По завершении времени жизни любого из ключей соответствующее сопоставление безопасности также согласовывается заново. Процесс создания новых ключей через определенный интервал называется динамической сменой ключей. Параметры времени жизни позволяют задать конкретный интервал создания нового ключа (смены ключа). Например, если связь продолжается в течение 100 минут, а для ключа задано время жизни в 10 минут, за время обмена данными будет создано 10 ключей, по одному через каждые 10 минут. Использование нескольких ключей гарантирует, что если злоумышленнику удастся получить ключ к одной части подключения, безопасность всего подключения не будет нарушена. Автоматическая смена ключей обеспечивается по умолчанию. Параметры по умолчанию можно изменить и либо ограничить время жизни основного ключа в минутах или числом ключей сеансов, либо включить безопасную пересылку основного ключа (PFS).
При задании сильно различающихся значений времени жизни следует соблюдать осторожность, поскольку это также определяет время жизни сопоставления безопасности. Например, задание для основного ключа времени жизни в 8 часов (480 минут), а для ключа сеанса (устанавливается в параметрах действия фильтра) — в 2 часа может привести к тому, что сопоставление безопасности быстрого режима будет существовать почти 2 часа после окончания срока действия сопоставления безопасности основного режима. Такая ситуация может возникнуть в случае создания нового сопоставления безопасности быстрого режима непосредственно перед окончанием срока действия сопоставления безопасности основного режима.
Ограничение повторного использования ключа сеанса
Неоднократное повторное использование одного и того же основного ключа может снизить его надежность. Например, если Иван, работающий на компьютере А, отправляет сообщение Марии на компьютер Б, а несколько минут спустя отправляет Марии еще одно сообщение, возможно использование тех же сведений основного ключа, поскольку сопоставление безопасности между компьютерами было установлено недавно. Число таких повторных использований основного ключа можно ограничить.
При включении безопасности пересылки основного ключа будет задано число повторных использований основного ключа, равное 1. При включенной безопасности пересылки основного ключа создание нового ключа происходит каждый раз. Если указано и время жизни основного ключа в минутах, и предел использования ключа сеанса, новый ключ будет создаваться по достижении любого из этих значений.
Основной ключ безопасной пересылки (PFS)
Определяет способ создания нового ключа сеанса. Включение безопасной пересылки основного ключа (PFS) обеспечивает невозможность использования материала основного ключа для создания более чем одного ключа сеанса.
Следует соблюдать осторожность при использовании PFS, поскольку этот режим требует перепроверки подлинности и может повлиять на быстродействие. Включать этот режим на обеих сторонах подключения не обязательно.
Сведения о способах настройки параметров и методов обмена ключами см. в разделах Настройка обмена ключами и Создание методов безопасности для обмена ключами.