Jak działa izolacja domen
Opublikowano: 10 września 2007
Poniżej opisano, w jaki sposób wspólne użycie Active Directory, Zasad Grupy i IPsec umożliwia izolowanie domen.
Zawartość strony
Składniki używane do izolacji domen | |
Procesy komunikacyjne | |
Komunikacja z hostem izolowanym zainicjowana przez innego hosta izolowanego | |
Komunikacja z hostami nieizolowanymi inicjowana przez izolowanego hosta | |
Komunikacja z hostem izolowanym zainicjowana przez hosta nieizolowanego | |
Przeczytaj pozostałe części tej publikacji |
Składniki używane do izolacji domen
Do izolacji domeny potrzebne są następujące składniki:
- Aktywna domena Active Directory. Domena obejmuje kontrolery domeny oraz ustawienia zaufania z innymi domenami lub elementami drzewa katalogowego w sieci.
- Komputery członkowskie. Komputery należące do domeny Active Directory, posiadające poświadczenia domeny.
- Ustawienia Zasad Grupy. Ustawienia komputerów i kont użytkowników pobierane automatycznie przez komputery należące do domeny.
- Aktywne ustawienia zasad IPsec. Ustawienia Zasad Grupy konfigurujące zachowanie komputerów należących do domeny, powodujące jej izolację.
W prostym wdrożeniu izolacji domen można skonfigurować i włączyć zasady IPsec definiujące określone typy ruchu i sposób ich obsługi. Następnie należy włączyć te zasady dla wybranych kontenerów Active Directory – witryn, domen i jednostek organizacyjnych. Komputery należące do kontenerów Active Directory, dla których zastosowane zostaną ustawienia Zasad Grupy, automatycznie pobiorą te ustawienia.
Po pobraniu i zastosowaniu ustawień przez komputery, będą one miały zarówno odpowiednie ustawienia zasad IPsec, pozwalające na izolację, jak i poświadczenia domeny, umożliwiające bezpieczną komunikację w jej obrębie, oraz na komunikację bez zabezpieczeń z komputerami spoza domeny. Komputery nie należące do domeny, nie mające właściwych ustawień zasad IPsec bądź poświadczeń domeny nie mogą nawiązać komunikacji z hostami izolowanymi.
Do początku strony
Procesy komunikacyjne
Po wdrożeniu izolacji domeny, komunikacja pomiędzy hostami w sieci będzie się różnić w zależności od tego, jaki typ hosta (izolowany czy nie) będzie nawiązywał komunikację, oraz do jakiego typu należy host, z którym komunikacja będzie nawiązywana. Poniżej opisano przebieg komunikacji:
- Kiedy host izolowany nawiązuje komunikację z innym hostem izolowanym.
- Kiedy host nieizolowany nawiązuje komunikację z hostem izolowanym.
- Kiedy host izolowany nawiązuje komunikację z hostem nieizolowanym
Poniżej przedstawiono typy komunikacji zachodzące po wdrożeniu izolacji domeny.
Rys. 1. Proces komunikacji po wdrożeniu izolacji domeny.
Do początku strony
Komunikacja z hostem izolowanym zainicjowana przez innego hosta izolowanego
Kiedy host izolowany z poświadczeniami Active Directory i ustawieniami IPsec izolacji domeny (np. COMPUTER1 na rysunku) inicjuje komunikację z innym hostem izolowanym (np. COMPUTER2):
- Początkowy pakiet komunikacyjny wysłany przez COMPUTER1 – na przykład segment Transmission Control Protocol (TCP) Synchronize (SYN) – jest zgodny z aktywną regułą IPsec, zgodnie z którą host inicjujący musi zabezpieczyć ruch za pomocą IPsec.
- COMPUTER1 używa technologii IPsec do przeprowadzenia wzajemnego uwierzytelniania z komputerem COMPUTER2 i uzgodnienia wykorzystania zabezpieczeń IPsec.
- COMPUTER2 ma poświadczenia domeny, więc proces uwierzytelniania IPsec zostaje przeprowadzony pomyślnie. COMPUTER2 ma ustawienie zasad IPsec odpowiadające ustawieniom na drugim komputerze, więc uzgodnienie ochrony IPsec również jest wykonywane pomyślnie.
- COMPUTER1 wysyła początkowy pakiet komunikacyjny do komputera COMPUTER2 z zabezpieczeniami IPsec.
- COMPUTER2 wysyła odpowiedź na początkowy pakiet komunikacyjny – np, segment TCP SYN-Acknowledgement (SYN-ACK) do komputera COMPUTER1 z zabezpieczeniami IPsec.
- Kolejne pakiety wysyłane pomiędzy oboma komputerami również są zabezpieczane za pomocą technologii IPsec.
Ponieważ oba komputery należą do domeny i mają ustawienia zasad IPsec, hosty izolowane uwierzytelniają i chronią za pomocą technologii IPsec komunikację inicjowaną z innymi hostami izolowanymi.
Do początku strony
Komunikacja z hostami nieizolowanymi inicjowana przez izolowanego hosta
Kiedy host izolowany z poświadczeniami Active Directory i ustawieniami IPsec izolacji domeny (np. COMPUTER1 na rysunku) inicjuje komunikację z hostem nieizolowanym (np COMPUTER3 na rysunku):
- Początkowy pakiet komunikacyjny wysłany przez COMPUTER1 – na przykład segment Transmission Control Protocol (TCP) Synchronize (SYN) – jest zgodny z aktywną regułą IPsec, zgodnie z którą host inicjujący musi zabezpieczyć ruch za pomocą IPsec..
- COMPUTER1 używa technologii IPsec do przeprowadzenia wzajemnego uwierzytelniania z komputerem COMPUTER3 i uzgodnienia wykorzystania zabezpieczeń IPsec.
- COMPUTER3 nie dysponuje poświadczeniami domeny, więc proces uwierzytelniania komunikacji IPsec nie dochodzi do skutku.
- Ponieważ reguła wspomniana w kroku 1 umożliwia niezabezpieczoną komunikację z komputerami, które nie uwierzytelniły się za pomocą technologii IPsec, COMPUTER1 wysyła początkowy pakiet komunikacyjny bez zabezpieczenia IPsec.
- COMPUTER3 wysyła odpowiedź na początkowy pakiet komunikacyjny bez zabezpieczenia IPsec.
- COMPUTER1 i COMPUTER3 wysyłają kolejne pakiety bez zabezpieczenia IPsec.
Izolowany host próbuje uwierzytelnić hosta nieizolowanego. Kiedy jest to niemożliwe, host izolowany przesyła pakiety bez zabezpieczenia IPsec, co pozwala na inicjowanie komunikacji z hostami nieizolowanymi.
Do początku strony
Komunikacja z hostem izolowanym zainicjowana przez hosta nieizolowanego
Kiedy host nieizolowany (np. COMPUTER3 na rysunku) inicjuje komunikację z hostem izolowanym (np. COMPUTER2 na rysunku):
- COMPUTER3 nie ma ustawień zasad IPsec, więc wysyła początkowy pakiet komunikacyjny – np. segment TCP SYN – bez zabezpieczenia IPsec na COMPUTER2.
- Na komputerze COMPUTER2 sprawdzana jest zgodność początkowego pakietu komunikacyjnego wysłanego przez COMPUTER3 z zasadą, wymagającą, by komunikacja przychodząca była chroniona za pomocą technologii IPsec.
- Ponieważ zasada nie pozwala, by COMPUTER2 przyjmował komunikację niezabezpieczoną za pomocą IPsec, COMPUTER2 odrzuca początkowy pakiet komunikacyjny przeysłany przez COMPUTER3.
- COMPUTER2 odrzuca także dalsze próby nawiązania komunikacji przez COMPUTER3.
- Próba nawiązania komunikacji z komputerem COMPUTER2 przez COMPUTER3 nie powodzi się.
Hosty izolowane odrzucają początkowe pakiety komunikacyjne przesyłane przez hosty nieizolowane.
Do początku strony
Przeczytaj pozostałe części tej publikacji
Do początku strony |