228
1. User 1 запускает программу, которая соединяется по сети, используя TCP/IP для пересылки данных User 2. Политики безопасности, установленные на Computer А и Computer В определяют уровень безопасности сетевой связи.
2.Служба IPSec Policy Agent получает политики и передает их протоколам 1SAKMP/ Oakley и драйверу IPSec.
3.Протоколы ISAKMP/Oakley на каждом компьютере используют политики согласования, соответствующие установ-
ленной политике SA. Результаты согласования передаются между двумя компьютерами на драйвер IPSec, использующий полученный ключ для шифрования данных.
4. Наконец, драйвер IPSec посылает зашифрованные данные на Computer В. Драйвер IPSec на Computer В расшифровывает данные и пересылает их принимающей программе.
Рис. 8.9. Пример процесса связи с применением IPSec
8.3. Протокол Kerberos в Windows Server
Стандартный процесс обеспечения безопасности означает включение в систему функции, заставляющей пользователя доказывать, что он именно тот, за кого себя выдает. Эта проверка подлинности выполняется, когда пользователь вводит правильный
229
пароль для данной учетной записи. Например, когда User 1 пытается соединиться с некоторым сервером для доступа к какомулибо файлу, этот сервер должен убедиться, что посылает запрос действительно User 1. Обычно сервер предполагает, что это User 1, если при установлении связи вводится правильный пароль.
Более надежный вариант обеспечивается доверенной третьей стороной, проверяющей идентичность пользователя. Такой стороной является протокол аутентификации Kerberos.
8.3.1.Обзор протокола Kerberos
ВWindows протокол Kerberos является службой аутентификации по умолчанию и основным протоколом безопасности. Он позволяет пользователю получить доступ ко всем ресурсам сети после однократной регистрации. Kerberos проверяет как подлинность пользователя, так и целостность данных во время сеанса связи. Это обусловлено тем, что служба Kerberos устанавливается на каждом контроллере домена, а клиент Kerberos – на все компьютеры с Windows.
При наличии протокола аутентификации Kerberos служба Kerberos на сервере проверяет подлинность пользователя. Прежде чем связаться с сервером, пользователь запрашивает билет от службы Kerberos — центра распространения ключей
(Key Distribution Centre, KDC) — для подтверждения своей лич-
ности. Затем пользователь посылает этот билет на целевой сервер. Так как сервер доверяет Kerberos, ручающейся за личность пользователя, он принимает пропуск как доказательство подлинности пользователя. Протокол Kerberos не дает пользовате-
лям входить в систему и получать доступ к ресурсам п ростым введением правильного имени и пароля. Вместо того чтобы верить введенным данным, ресурс должен войти в контакт со службой Kerberos и получить пропуск, удостоверяющий пользователя. Kerberos выступает как доверяемая третья сторона, генерирующая сеансовый ключ и предоставляющая пропуск для данной сессии клиент-сервер.
Выпускаемый службой Kerberos билет включает:
•сеансовый ключ;
•имя пользователя, для которого выдан сеансовый ключ;
•срок действия билета;
230
• любые дополнительные требуемые поля данных или параметры.
Срок действия билета определяется системными правилами домена. Если срок действия билета закончился во время сеанса, служба Kerberos извещает клиента и сервер о необходимости восстановления билета. Затем Kerberos генерирует новый сеансовый ключ, и сеанс продолжается.
8.3.1.1. Термины протокола Kerberos
Чтобы лучше понять протокол Kerberos, ознакомимся с его терминологией.
Участник безопасности
Участник безопасности (principal) — это имеющий уникальное имя пользователь, клиент или сервер, участвующий в сеансе связи.
Сфера
Сфера (realm) – это граница аутентификации, которую можно сравнить с доменом Windows. Каждая организация, использующая сервер Kerberos, создает собственную сферу. Домен Windows – это на самом деле сфера Kerberos, она называется доменом только для совместимости с терминологией Windows NT.
Секретный ключ
Используется совместно клиентом или сервером и третьей стороной для шифрования передаваемой между ними информации. В случае Kerberos доверяемой третьей стороной является служба Kerberos. В случае участника безопасности секретный ключ обычно основан на случайных данных или шифровании паролем участника. Секретный ключ никогда не передается по сети; передается только зашифрованная информация.
231
Сеансовый ключ
Этот временный ключ шифрования используется двумя участниками безопасности ограниченное время в течение единственного сетевого соединения. Связывающиеся партнеры обмениваются сеансовым ключом, поэтому он называется общим секретом. Сеансовый ключ всегда посылают в зашифрованном виде.
Аутентификатор
Это запись, используемая для проверки того, что запрос действительно исходит от данного участника безопасности. Аутентификатор содержит информацию, проверяющую идентичность отправителя и время посылки запроса. Эта информация зашифрована с помощью общего сеансового ключа, известного только связывающимся участникам безопасности.
Аутентификатор обычно посылают с билетом, чтобы дать возможность получателю удостовериться, что именно данный клиент инициализировал запрос.
Центр распространения ключей
Выполняет две роли: сервера аутентификации (authentication server, AS) и службы предоставления билета (ticket granting service, TGS). TGS рассылает билеты клиентам, подключающимся к сетевым службам. Но прежде чем клиент воспользуется службой TGS для получения билета, он должен получить специальный билет для получения билета (ticket granting ticket, TGT)
от AS.
Сертификат атрибута привилегий
Сертификат атрибута привилегий (privilege attribute certificate, РАС) содержит идентификатор безопасности (security ID, SID) пользователя.
Билет
Клиент связывается со службой предоставления билета (TGS) и запрашивает билет для сервера, с которым он соединяется, до контакта с ним. Билет (ticket) — это запись, позволяющая клиенту аутентифицировать себя для сервера; этот просто сертификат, выдаваемый службой Kerberos. Билет зашифрован так, что только сервер-адресат способен расшифровать и прочи-