Давайте признаемся себе в том, что, как только речь заходит об информационной безопасности, Microsoft часто становится “мальчиком для битья”. Недавно компания снова вызвала на себя огонь антимонопольных орудий Европейского союза. На этот раз мишенью, среди всего прочего, стала закрытость ядра ОС Vista. Масла в огонь добавило еще и то, что первый случай обнаружения атаки на Vista был зафиксирован уже 22 декабря 2006 г., т. е. спустя всего три недели после официального выпуска ОС.
Сейчас единственный “луч света в темном царстве” для Microsoft — это Windows Longhorn Server, продукт основательной переработки ядра Windows. В нем прослеживается четкая направленность на повышение безопасности, а также на упрощение управления и повышение производительности. Чтобы выяснить, какую пользу организациям принесут изменения, сделанные Microsoft в этой своей серверной ОС следующего поколения, мы проверили новые функции безопасности этого продукта в нашей лаборатории Real-World Labs Сиракузского университета.
После нескольких недель придирчивых изысканий этот продукт вызвал у нас полный восторг. Как компания Microsoft и обещала, в Longhorn значительно повышена безопасность процессов установки и конфигурирования, налицо преимущества, обусловленные модульностью ОС, в наличии имеются функция определения состояния клиентского ПО с точки зрения его исправности, усовершенствованный межсетевой экран (МЭ) и новый IP-стек.
Сразу видно, что в этот раз Microsoft уделила внимание мельчайшим деталям безопасности, чего так не хватало ее предыдущим продуктам. Возьмем, к примеру, одну вроде бы незначительную функциональную находку, которую сразу и не заметишь, — блокировку сетевого доступа к серверу во время работы программы-мастера первоначальной настройки. Наличие ее — хороший знак. В более широком плане, для создания дополнительной защиты подключений, через которые осуществляется удаленный доступ, в сервере Longhorn используется разработанная Microsoft технология защиты доступа к сети (Network Access Protection — NAP).
К сожалению, это лучшее из технологических новшеств требует внесения изменений в существующие клиентские настольные системы, что нам не очень понравилось. Для извлечения всех преимуществ Longhorn Server нужно, как минимум, обновить все клиентские ОС, перейдя на последние версии XP или ОС Vista — это то, что большинство организаций, особенно те, на клиентских машинах которых установлены разные ОС, смогут осилить с трудом. И это с учетом того, что на данный момент можно сказать, что старт Vista не удался.
Кроме этого, ИТ-службам придется приобретать новые навыки, а системные администраторы будут, что называется “рвать и метать”, захлебываясь потоками предупреждений от NAP, — ведь новые, более жесткие ограничения на доступ к сети вынудят пользователей прибегать к различным обходным маневрам. ИТ-службам следует пересмотреть свою тактику и стратегию. Вполне может оказаться, что преимуще-ства, оправдывающие переход к Longhorn, будут реализованы только после обновления настольных систем конечных пользователей.
Тройная защита
Благодаря использованию NAP серверная ОС Longhorn превосходит ОС Server 2003 с ее технологией карантинного контроля доступа к сети (Network Access Quarantine Control), которая предусматривает дополнительную защиту только в отношении сеансов удаленного доступа. Longhorn же защищает все коммуникации — будь то соединения VPN, сеансы на основе протокола DHCP или IPsec.
Если посмотреть глубже, то окажется, что NAP реализует три функции, защищающие корпоративную сеть от доступа “нелояльных” клиентов. Сетевые ограничения таковы, что доступ предоставляется только тем клиентам, которые подчиняются корпоративной политике безопасности. Все прочие помещаются в карантин с целью принятия соответствующих мер. Кроме того, NAP предоставляет администраторам возможность контролировать, соответствуют ли требованиям политики программные “заплаты” и файлы вирусных сигнатур, с помощью этой технологии также обеспечивается контроль над тем, правильно ли настроен мэ.
И наконец, NAP “принимает” меры по реабилитации ПО клиента. Если по результатам контроля оказывается, что клиент не соблюдает политику безопасности, администратор может автоматически обновить его ПО до требуемого уровня соответствия правилам. Для этого на клиентской машине должно быть установлено ПО администрирования типа Microsoft SMS (Systems Management Server). Поддерживается также конфигурация, рассчитанная только на мониторинг, что позволяет клиентам получать доступ лишь к некоторым сетевым ресурсам, пока их ПО не будет обновлено администратором до требуемого уровня соответствия (см. “Основные характеристики архитектуры Microsoft NAP”).
Чтобы технология NAP работала, на клиентских машинах должна быть установлена программа-агент NAP Client, входящая в состав ОС Vista и сервера Longhorn и в настоящее время доступная — в бета-версии — для ОС XP. Что же касается NAP-серверов, то тут дело обстоит несколько сложнее — на них должны быть запущены следующие службы: администрирования NAP (NAP Administration Server), контроля безопасности клиента (System Health Validator), выдачи сертификата безопасности (Health Certificate Server), реабилитации (Remediation Server), политик (Policy Server), а также настроены политики безопасности клиента (Health Policy).
Хорошая новость — NAP трудно обмануть. В нашей тестовой сети, состоящей из двух серверов Longhorn, мы смогли так настроить политику авторизации (Authorization Policy), что VPN-доступ разрешался только клиентам, у которых работал МЭ Windows. Клиенты, не прошедшие контроль на соответствие политике авторизации, направлялись на Web-страницу нашего реабилитационного сервера ограниченного доступа. Здесь их уведомляли об отказе в подключении и предоставляли информацию о том, как обеспечить соответствие политике — в данном случае, как включить МЭ на своей машине. Конечно, это довольно простой тест, но мы полагаем, что сетевой администратор сможет так настроить службу System Health Validator и политику авторизации, чтобы они удовлетворяли их сетевому окружению (более подробную информацию о NAP см.: Сети и системы связи. 2007. № 4. С. 98).
Больше чем безопасность
Сейчас основные усилия в области безопасности направлены на системы конечных пользователей, однако первой линией обороны продолжают оставаться МЭ. Именно поэтому Microsoft заменяет МЭ сервера Server 2003 SP1, сканирующий только входящий трафик, на новый Windows Firewall сервера Longhorn. Наши испытания показали, что этот продукт имеет много усовершенствований в части безопасности, но сильно “страдает” из-за обескураживающе сложного и подчас слишком громоздкого интерфейса.
Среди усовершенствований этого МЭ — администрирование по принципу профилей, фильтрация входящего и исходящего трафика, интеграция с управляющей консолью Microsoft (Microsoft Management Console — MMC), администрирование VPN на основе протокола IPsec и доступ к настройкам фильтрации через общий интерфейс.
Фильтрация входящего и исходящего трафика — очень удобная новая функция. По умолчанию весь входящий трафик блокируется, если не отвечает сконфигурированным правилам или если не является ответом на запрос того или иного компьютера сети. Такое поведение МЭ сослужит хорошую службу, преградив путь троянам и некоторым вирусам. Тестирование показало, что правила можно конфигурировать посредством задания обычных параметров — учетных записей и групп Active Directory, IP-адресов, TCP- и UDP-портов источника и получателя, типа и кода сообщений протокола ICMP и ICMPv6, а также служб.
На наш взгляд, возможность администрирования по профилям очень полезная функция с точки зрения упрощения конфигурации устройств обеспечения безопасности. Администраторам представляются три основных профиля — домен, частная сеть и публичная сеть, — причем каждый из них применим к сетям различного типа. Профиль “домен” предназначен для описа-ния поведения клиентов, подключенных к сети, которая содержит контроллер домена клиента; профиль “частная сеть” — для клиентов, подключенных к сетям, кото-рые расположены за маршрутизатором, например, домашним или SOHO-сетям; профиль “публичная сеть” рассчитан на клиентов, подключенных к Интернету напрямую.
Во все профили включены правила по умолчанию как для входящего, так и для исходящего трафика. Хотя интерфейс МЭ показался нам несколько устрашающим (и он действительно может напугать неопытных пользователей), компания Microsoft облегчила его настройку, включив в программу мастера первоначальной настройки опцию “для начинающих пользователей”.
Правила интеграции IPsec
Для предотвращения перехвата и фальсификации передаваемой информации Microsoft внедрила в Longhorn поддержку протокола IPsec и разработала простой в пользовании интерфейс для его конфигурирования. Хотя действующих по умолчанию правил нет, имеется мастер, помогающий довольно легко настроить правила пяти типов: изоляция, обход аутентификации, “сервер–сервер”, “туннель” и по выбору пользователя. Правила изоляции ограничивают подключения на основании критериев аутентификации, в качестве каковых могут служить принадлежность домену или “состояние здоровья” клиента. Правила обхода аутентификации служат для отмены ограничений IPsec в отношении определенных компьютеров, правила типа “сервер–сервер” — для аутентификации подключений между конкретными конечными узлами, а правила типа “туннель” — для аутентификации подключений между компьютерами-шлюзами.
Управлять политиками в отношении входящего и исходящего трафика стало гораздо удобнее благодаря интерфейсу Firewall Management, который предусматривает полное описание политик, а сами правила сгруппированы по профилям услуг и сетей. Новые правила создаются с помощью мастера создания нового безопасного подключения (New Connection Security Rule Wizard), в котором можно создать правило на основе выбора программы, порта или службы. Правила, созданные в среде MMC, легко импортируются или экспортируются. Кроме того, всеми этими новыми функциями можно управлять через объекты Group Policy службы Active Directory.
Одна из самых больших сложностей при конфигурировании МЭ — соблюдение корректности задания правил, т. е. “правильный” доступ к сети должны получать только “правильные” люди. В этом плане Longhorn просто превосходен. Мы, например, создали правило для исходящего трафика, обеспечивающее выполнение условия, что любая ИТ-служба считает проявлением простого здравого смысла: никогда не выходить в Интернет через консоль сервера. Наше правило просто блокировало для программы-проводника Internet Explorer (IE) (Iexplore.exe) саму возможность выхода в Интернет. Если же данное правило включить в список объектов Group Policy, то выход браузера IE в Интернет будет запрещен в масштабах всей организации.
Мы также установили правило для входящего трафика, разрешающее удаленным настольным системам доступ только по защищенному/зашифрованному подключению. Оба правила работали так, как мы и ожидали, и блокировали тот трафик, который нужно было блокировать. И наконец, мы сконфигурировали правило для IPsec-соединений, требовавшее, чтобы все компьютеры, подключающиеся к тестовому серверу в рамках профиля “Домен”, проходили аутентификацию по сертификату, выданному доменным центром сертификации службы Active Directory.
Теперь поговорим о грустном. Компания Microsoft включила в бета-версию ОС Longhorn сразу несколько интерфейсов МЭ: обращение к МЭ с расширенными возможностями обеспечения безопасности возможно через новую интегрированную консоль MMC, ярлык Administrative Tools, объекты Group Policy и интерфейс Local Security Policy. Мы считаем излишним наличие дополнительного интерфейса мэ, подобного таковому в Windows XP SP2, к которому можно получить доступ через панель управления и интерфейс Server Manager. Мы подозреваем, что старый интерфейс МЭ из будущих версий Longhorn будет удален. Кроме того, хотя новым МЭ можно управлять через окно Local Security Policy, существующие правила экранирования там не показываются.
Реконструкция TCP/IP стека
Наверное, самым большим изменением, внесенным на сетевом уровне разработчиками сервера Longhorn, стала полная переработка TCP/IP-стека, обеспечивающая его более легкую установку, повышающая производительность сети и снижающая потребность в памяти. Новый стек, который Microsoft назвала TCP/IP-стеком следующего поколения (Next Generation TCP/IP Stack), включает в себя двухслойную IP-архитектуру для поддержки обеих версий Интернет-протокола (IPv4 и IPv6) и усовершенствованную автонастройку параметров TCP/IP.
Новая архитектура позволяет обеим реализациям протокола IP использовать общие транспортный и канальный уровни — отпадает необходимость в специальной инсталляции IPv6 как отдельного стека. Нужно отметить, что в Longhorn стандартным является использование IPv6, но во время тестирования мы не обнаружили каких-либо проблем с подключением по IPv4. В отличие от предыдущих серверных ОС компании удалить IPv6 из Longhorn невозможно, поэтому предприятия, которые не планируют развертывание данного протокола и которые захотят заблокировать эту функцию, вынуждены будут модифицировать реестр системных ресурсов. К счастью, Microsoft предоставила документацию, позволяющую редактировать этот реестр и избирательно отключать функции IPv6.
Новый TCP/IP-стек конфигурирован таким образом, что может автоматически настраивать размер окна по каждому соединению в отдельности. По заявлению Microsoft, данная функция автонастройки способна масштабировать окно размером до 16 Мбайт, что должно повысить эффективность передачи данных по высокоскоростным каналам.
Компания Microsoft также разработала специальную технологию разгрузки TCP chimney off-loading, очень полезную тем компаниям, которые используют IP-хранилища, или присматриваются к технологии 10-Gigabit Ethernet. Предложенная технология разгрузки повышает производительность сети за счет того, что исполнение сетевых задач возлагается на сетевой адаптер (см. “Возможности сервера Longhorn в качестве хранилища данных”). .
Автор Тайлер Лоутон
Взято с Сети и системы связи