• Artykuł

Działanie izolacji domen w Microsoft Windows - Wstęp     Działanie izolacji domen w Microsoft Windows     Informacje ogólne o wdrażaniu izolacji domen

Jak działa izolacja domen Udostępnij na: Facebook

Opublikowano: 10 września 2007

Poniżej opisano, w jaki sposób wspólne użycie Active Directory, Zasad Grupy i IPsec umożliwia izolowanie domen.

*

Zawartość strony
Składniki używane do izolacji domen  Składniki używane do izolacji domen
Procesy komunikacyjne  Procesy komunikacyjne
Komunikacja z hostem izolowanym zainicjowana przez innego hosta izolowanego  Komunikacja z hostem izolowanym zainicjowana przez innego hosta izolowanego
Komunikacja z hostami nieizolowanymi inicjowana przez izolowanego hosta  Komunikacja z hostami nieizolowanymi inicjowana przez izolowanego hosta
Komunikacja z hostem izolowanym zainicjowana przez hosta nieizolowanego  Komunikacja z hostem izolowanym zainicjowana przez hosta nieizolowanego
Przeczytaj pozostałe części tej publikacji  Przeczytaj pozostałe części tej publikacji

Składniki używane do izolacji domen

Do izolacji domeny potrzebne są następujące składniki:

  • Aktywna domena Active Directory. Domena obejmuje kontrolery domeny oraz ustawienia zaufania z innymi domenami lub elementami drzewa katalogowego w sieci.
  • Komputery członkowskie. Komputery należące do domeny Active Directory, posiadające poświadczenia domeny.
  • Ustawienia Zasad Grupy. Ustawienia komputerów i kont użytkowników pobierane automatycznie przez komputery należące do domeny.
  • Aktywne ustawienia zasad IPsec. Ustawienia Zasad Grupy konfigurujące zachowanie komputerów należących do domeny, powodujące jej izolację.

W prostym wdrożeniu izolacji domen można skonfigurować i włączyć zasady IPsec definiujące określone typy ruchu i sposób ich obsługi. Następnie należy włączyć te zasady dla wybranych kontenerów Active Directory – witryn, domen i jednostek organizacyjnych. Komputery należące do kontenerów Active Directory, dla których zastosowane zostaną ustawienia Zasad Grupy, automatycznie pobiorą te ustawienia.

Po pobraniu i zastosowaniu ustawień przez komputery, będą one miały zarówno odpowiednie ustawienia zasad IPsec, pozwalające na izolację, jak i poświadczenia domeny, umożliwiające bezpieczną komunikację w jej obrębie, oraz na komunikację bez zabezpieczeń z komputerami spoza domeny. Komputery nie należące do domeny, nie mające właściwych ustawień zasad IPsec bądź poświadczeń domeny nie mogą nawiązać komunikacji z hostami izolowanymi.

 Do początku strony Do początku strony

Procesy komunikacyjne

Po wdrożeniu izolacji domeny, komunikacja pomiędzy hostami w sieci będzie się różnić w zależności od tego, jaki typ hosta (izolowany czy nie) będzie nawiązywał komunikację, oraz do jakiego typu należy host, z którym komunikacja będzie nawiązywana. Poniżej opisano przebieg komunikacji:

  • Kiedy host izolowany nawiązuje komunikację z innym hostem izolowanym.
  • Kiedy host nieizolowany nawiązuje komunikację z hostem izolowanym.
  • Kiedy host izolowany nawiązuje komunikację z hostem nieizolowanym

Poniżej przedstawiono typy komunikacji zachodzące po wdrożeniu izolacji domeny.

Rys. 1. Proces komunikacji po wdrożeniu izolacji domeny.

Rys. 1. Proces komunikacji po wdrożeniu izolacji domeny.

 Do początku strony Do początku strony

Komunikacja z hostem izolowanym zainicjowana przez innego hosta izolowanego

Kiedy host izolowany z poświadczeniami Active Directory i ustawieniami IPsec izolacji domeny (np. COMPUTER1 na rysunku) inicjuje komunikację z innym hostem izolowanym (np. COMPUTER2):

  1. Początkowy pakiet komunikacyjny wysłany przez COMPUTER1 – na przykład segment Transmission Control Protocol (TCP) Synchronize (SYN) – jest zgodny z aktywną regułą IPsec, zgodnie z którą host inicjujący musi zabezpieczyć ruch za pomocą IPsec.
  2. COMPUTER1 używa technologii IPsec do przeprowadzenia wzajemnego uwierzytelniania z komputerem COMPUTER2 i uzgodnienia wykorzystania zabezpieczeń IPsec.
  3. COMPUTER2 ma poświadczenia domeny, więc proces uwierzytelniania IPsec zostaje przeprowadzony pomyślnie. COMPUTER2 ma ustawienie zasad IPsec odpowiadające ustawieniom na drugim komputerze, więc uzgodnienie ochrony IPsec również jest wykonywane pomyślnie.
  4. COMPUTER1 wysyła początkowy pakiet komunikacyjny do komputera COMPUTER2 z zabezpieczeniami IPsec.
  5. COMPUTER2 wysyła odpowiedź na początkowy pakiet komunikacyjny – np, segment TCP SYN-Acknowledgement (SYN-ACK) do komputera COMPUTER1 z zabezpieczeniami IPsec.
  6. Kolejne pakiety wysyłane pomiędzy oboma komputerami również są zabezpieczane za pomocą technologii IPsec.

Ponieważ oba komputery należą do domeny i mają ustawienia zasad IPsec, hosty izolowane uwierzytelniają i chronią za pomocą technologii IPsec komunikację inicjowaną z innymi hostami izolowanymi.

 Do początku strony Do początku strony

Komunikacja z hostami nieizolowanymi inicjowana przez izolowanego hosta

Kiedy host izolowany z poświadczeniami Active Directory i ustawieniami IPsec izolacji domeny (np. COMPUTER1 na rysunku) inicjuje komunikację z hostem nieizolowanym (np COMPUTER3 na rysunku):

  1. Początkowy pakiet komunikacyjny wysłany przez COMPUTER1 – na przykład segment Transmission Control Protocol (TCP) Synchronize (SYN) – jest zgodny z aktywną regułą IPsec, zgodnie z którą host inicjujący musi zabezpieczyć ruch za pomocą IPsec..
  2. COMPUTER1 używa technologii IPsec do przeprowadzenia wzajemnego uwierzytelniania z komputerem COMPUTER3 i uzgodnienia wykorzystania zabezpieczeń IPsec.
  3. COMPUTER3 nie dysponuje poświadczeniami domeny, więc proces uwierzytelniania komunikacji IPsec nie dochodzi do skutku.
  4. Ponieważ reguła wspomniana w kroku 1 umożliwia niezabezpieczoną komunikację z komputerami, które nie uwierzytelniły się za pomocą technologii IPsec, COMPUTER1 wysyła początkowy pakiet komunikacyjny bez zabezpieczenia IPsec.
  5. COMPUTER3 wysyła odpowiedź na początkowy pakiet komunikacyjny bez zabezpieczenia IPsec.
  6. COMPUTER1 i COMPUTER3 wysyłają kolejne pakiety bez zabezpieczenia IPsec.

Izolowany host próbuje uwierzytelnić hosta nieizolowanego. Kiedy jest to niemożliwe, host izolowany przesyła pakiety bez zabezpieczenia IPsec, co pozwala na inicjowanie komunikacji z hostami nieizolowanymi.

 Do początku strony Do początku strony

Komunikacja z hostem izolowanym zainicjowana przez hosta nieizolowanego

Kiedy host nieizolowany (np. COMPUTER3 na rysunku) inicjuje komunikację z hostem izolowanym (np. COMPUTER2 na rysunku):

  1. COMPUTER3 nie ma ustawień zasad IPsec, więc wysyła początkowy pakiet komunikacyjny – np. segment TCP SYN – bez zabezpieczenia IPsec na COMPUTER2.
  2. Na komputerze COMPUTER2 sprawdzana jest zgodność początkowego pakietu komunikacyjnego wysłanego przez COMPUTER3 z zasadą, wymagającą, by komunikacja przychodząca była chroniona za pomocą technologii IPsec.
  3. Ponieważ zasada nie pozwala, by COMPUTER2 przyjmował komunikację niezabezpieczoną za pomocą IPsec, COMPUTER2 odrzuca początkowy pakiet komunikacyjny przeysłany przez COMPUTER3.
  4. COMPUTER2 odrzuca także dalsze próby nawiązania komunikacji przez COMPUTER3.
  5. Próba nawiązania komunikacji z komputerem COMPUTER2 przez COMPUTER3 nie powodzi się.

Hosty izolowane odrzucają początkowe pakiety komunikacyjne przesyłane przez hosty nieizolowane.

 Do początku strony Do początku strony

Przeczytaj pozostałe części tej publikacji

 Do początku strony Do początku strony

Działanie izolacji domen w Microsoft Windows - Wstęp     Działanie izolacji domen w Microsoft Windows     Informacje ogólne o wdrażaniu izolacji domen