本機通訊系統的 IP 安全性

Cc750598.community-sm(zh-tw,TechNet.10).gif本頁索引

本文的重點
安全性風險
客戶設定檔
IP 安全性的商業案例
IPSec 概觀
在 Windows 2000 中執行 IPSec 原則
結論
參考資料


作者: Joanie Rhine

Microsoft Solutions Framework

企業安全的最佳實例

附註 本白皮書是一系列文件之一。企業安全的最佳實例 (http://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.mspx) 含有此系列所有文章的完整清單。 另請參閱〈Security Entities Building Block Architecture〉 (http://www.microsoft.com/technet/security/bestprac/bpent/sec2/secentbb.mspx)。
 

本文的重點

MSF 白皮書《終端系統的資料安全性及資料可用性》說明許多對 IP 網路的威脅。 違規範圍從吸入式及其他被動式攻擊到更惡意及深入的攻擊 (如,身分識別的詐騙及拒絕服務)。1999 CSI/FBI Computer Crime and Security Survey 估計未經授權存取及竊取專屬資訊的成本,每年平均為 $4,486,000 美元。這項研究同時也判斷 70% 未經授權的存取是來自於公司內部。所以絕對不要輕忽內部的敵人。 然而,這些攻擊並不一定是由於駭客的活動或不高興的員工所為,但可以確定的是,資訊會因意外或錯誤而遺失。不過,防止內部存取資訊並使用多重安全機制是深度防衛的基礎。

安全性風險

嘗試保護客戶環境的安全時,必須考慮許多事情,如實體安全性、防火牆及強化安全密碼。 然而,此方法對於防止公司「內部」的攻擊,成效不大。雖然可以保護儲存在資料庫或磁碟中的資料, 但許多應用程式是以純文字的方式來傳輸資料及密碼—在透過線路傳送資訊時, 強大的防護網安全完全無法防止合法的內部使用者攫取資料及密碼資訊。 所以我們的問題變成:「如何提供具有無可否認性、完整性、資訊確實性及機密性的安全性?」

此外,今日有許多客戶都在利用網際網路的連線能力。使用通道式通訊協定, 遠端使用者或個別網路都可以連接到本機 ISP,並使用對網際網路的連線來存取另一個網路。 此方法可以使用現有的 IP 網路作為遠端存取的媒介。這可以讓公司不用花大錢做點對點連結及專用的 WAN 技術。 傳統上,透過撥號線路的遠端存取已經不是重大安全性議題了,因為那是使用一般電話線所建立的點對點連線。 使用者 (或路由器) 直接撥打連接到遠端存取裝置的電話號碼。有惡意的行為必須透過某些機制,才能在電話線上存取資料。 假設這些遠端存取連線是透過公司的電話網路進行,則窺探資料會變得較為困難。 有趣的是,點對點撥號連線的固定安全性並不比網際網路多,但大家在大舉尋找一種方式以竊聽透過撥號連結的交談時, 可能性卻大幅降低。這主要是由於設計問題,包括設備的地區性及缺乏存取其中元件的協助工具。 如果用戶端是在洛衫磯,伺服器是在西雅圖,而在其間進行撥號連線。 如果有惡意的使用者是在佛羅里達,沒有任何機制可以用來存取線路及開關。然而,在網際網路上,偷聽是非常容易就能做到的, 因為元件的知識較為普通,而且不論距離有多遠,都可以存取那些元件。 所以,為了讓客戶能夠在網際網路上享用通道式的效率與便利性,必須使用及執行一些技術以防止這些風險。

客戶設定檔

我們的客戶是一個大型的金融機構 (此時暫訂為「銀行」), 大約有 5,000 位使用者。大部份的使用者 (約有 3,500 人) 都位在舊金山的總公司。 其他的 1,500 人則分散在美國各地的分公司。 銀行最近已將網域移轉成 Microsoft® Windows® 2000,且已執行單一網域樹系 Active Directory™ 目錄服務結構。接下來的兩個月中,將完成從 Windows NT® 4.0 移轉所有用戶端電腦。

每一個分公司都已定義為一個 Active Directory 站台,且最少都具有兩個網域控制站, 其中一個是當成通用類別目錄伺服器使用。舊金山的總公司是數個檔案及列印伺服器,以及無數行業應用程式的所在地。 大部份的分公司一整天都會頻繁地存取總公司的資料。所有分公司 (除了雷諾及奧蘭多以外) 都有連接至總公司的專用 WAN 連結, 其連線能力每秒至少有 256 千位元 (kbps)。在升級到 Windows 2000 之前, 雷諾及奧蘭多是使用「點對點通道通訊協定 (PPTP)」,透過路由器對路由器「虛擬私人網路 (VPN)」連線來連接總公司。 他們現在則對於使用「第二層通道通訊協定 (L2TP)」及「網際網路通訊協定安全性 (IPSec)」的優缺點,感到非常有興趣。

銀行有兩個與資料安全性及可用性相關的主要目標。

  • 保護 SQL 資料庫中所儲存的機密性金融資料,並由授權的使用者透過網路經常更新。 其中包括數個大客戶的敏感性財務資訊,以及合併者及併購的相關資訊。
  • 使用 L2TP/IPSec,將雷諾及奧蘭多分公司連接至總公司。

本文件的目的則在於提供銀行一個架構,以便在透過公司網路或網際網路傳送資料時,能夠確保資料的可信度、不會被變更及其機密性。

IP 安全性的商業案例

「IP 安全性 (IPSec)」提供一種模型,可以保護在網路上傳輸的資料。IPSec 是一種「網際網路工程任務推動小組 (IETF)」標準, 定義於 Requests for Comments (RFC) 2401–2411 中。這是第一次 IP 通訊協定 (或網路層) 被修改為提供安全性。 IPSec 提供驗證、完整性及機密性 (選擇性地)。傳送電腦會在傳輸之前保護資料安全,而接收電腦會在收到資料後解碼。 依據密碼金鑰,IPSec 可以用來保護電腦、站台、網域、應用程式通訊、撥號使用者及外部網路通訊的安全。 在詳盡的安全性規劃中,使用嚴格控制及防護網安全性是規劃的一部份, IPSec 可確保傳輸的資料安全。但它無法保護儲存在磁碟中的資料安全。在下列各節中, 我們將檢視 IPSec 的特定詳細資料,包括它如何運作及通訊協定與標準支援, 以及瞭解銀行如何選擇執行「IP 安全性」作為其安全安全性的一部份。

網路安全性是一個非常廣泛且常常模糊不清單的術語。我們是在談論容許及不容許哪些流量的實體限制嗎? 它可以像信上的簽名一樣,確保傳送資料的確實性?或者,是否可以信任收到的資料未被變更且可免於被偷聽呢? 事實上,這些全都是網路安全性的一部份。IPSec 強調透過線路傳輸資料的三個主要議題:

  • 確實性及無可否認性
  • 完整性
  • 機密性

透過 IP 傳送的資料並沒有穩固的安全性。如之前所討論的,截取 IP 流量、 偽造 IP 位址及執行各種毫無忌憚的行為,是一件非常簡單的事。 無法保證接收的封包是來自於宣告的寄件者,或該資料在傳輸中並未被變更。

今日的企業環境需要一個安全方法,以便在公司網路及網際網路上傳送資料。 IPSec 及其他的技術 (如 L2TP),都可以提供這種功能。所以,可能有人會問: 「既然如此,為什麼不乾脆保護所有東西 ?」不幸的是,事情從來不是這麼簡單。 如協同運作、效能含意及簡單性等事項都必須加以檢查,才能順利地決定 IPSec 計畫。 為了順利檢查這些問題並瞭解 IPSec 所提供的商業優點,必須預先瞭解這項技術。

IPSec 概觀

如名稱所暗示的,IPSec 提供 IP 資料包的安全性。若是以大部份的網路都不安全的假設為前提, 便需要其他的元件來保護在線路上傳送資料的安全,IPSec 提供來源驗證、完整性檢查及內容機密性。

保護資料安全不是什麼新鮮事了;有太多不同的方法可以提供安全。 部份應用程式提供應用程式層上的安全性服務,包括 Secure Sockets Layer (SSL) 或「傳輸層安全性 (TLS)」。 在這些通訊協定的案例中,應用程式會呼叫基礎安全性提供者以提供這些服務。 即使大部份的實作細節是非常抽象的 (例如,在 Windows 2000 中,「安全性支援提供者介面」或 SSPI, 提供應用程式公用介面以存取基礎安全性元件),但應用程式必須具有最少程度的「安全感知」。 IPSec 則將安全性向下移到網路層而消除此需求。這可讓應用程式持續獨立於基礎安全性基礎結構之外。不論起始時產生流量的應用程式是什麼, IP 資料包都會受到保護。換句話說,應用程式不是 IPSec 感知。不論正在執行哪一個應用程式, 都是由系統管理員定義安全性規則;IPSec 對應用程式而言是透明的。其中的含意非常驚人—IPSec 可以驗證、 保護安全及選擇性加密在任何 IP 網路 (包括網際網路) 上傳送的任何資料。IPSec 提供電腦與網路之間的端對端安全性。

IPSec 如何運作

IPSec 提供 IP 資料包的安全性。這是端對端的,暗指只有寄件者及接收者需要知道安全性的相關明細。 這兩者之間的裝置不需要擔心加密、私密金鑰等問題,只要傳遞資料即可。這對於像銀行這類的客戶而言是非常重要的, 原因有兩個。第一,傳送資料的線路可能並不安全。這表示在大部份的情況下,基礎網路基礎結構不需要修改。 第二,實作相當簡單。只有需要通訊的主機需要瞭解 IPSec。媒介裝置 (如路由器) 不需要 IPSec 感知。 對於客戶而言,這表示可以執行高階安全性,而無需花費巨額成本或對他們的網路基礎結構進行重大的變更。 然而,必須注意的是,封鎖特定流量類型的防火牆及其他裝置需要一些特殊注意事項且會在稍後討論。

IPSec 的 Windows 2000 實作是以 IETF IPSec 工作群組所定義的工業標準為基礎。 只要識別需要保護其安全的流量,然後套用已定義的安全性層級,IPSec 即可運作。 所以,舉例而言,銀行就可以識別符合某些條件 (如來源 IP 位址或主機名稱) 的流量,然後依據該識別選擇適當的安全性層級。

使用 IPSec,可以保護特定主機、網路路由器或防火器之間,或主機及路由器或防火器之間的資料安全。 使用工業標準驗證及加密演算法,IPSec 會利用現有的技術並提供詳盡的方法來保護網路流量安全。 有兩種通訊協定可以提供 IP 資料包保護:「認證標頭 (AH)」及「封裝安全承載 (ESP)」。AH 是用來保證資料完整性、 提供防重播保護及確保主機驗證。ESP 提供與 AH 類似的功能;然而,ESP 還包括選用性的資料機密性。 必須注意的是,AH 或 ESP 都不提供實際的加密演算法來執行上述功能,但 AH 及 ESP 可使用現有的加密及驗證演算法。

Windows 2000 中的 IPSec 有四個主要元件:

  • IPSec 通訊協定
  • 安全關聯性
  • 安全性原則
  • IPSec 驅動程式

IPSec 通訊協定

兩個通訊協定 (AH 及 ESP) 一起運作,以提供驗證、完整性及機密性。您可以設定這些通訊協定以保護整個 IP 裝載, 或只有 IP 裝載的上層通訊協定。個別使用這些通訊協定 (或合併使用),銀行可以達成簡單的驗證及完整性檢查,以及加密在線路上傳送的資料。

驗證標頭

AH,依照 RFC 2402 的定義,可以透過金鑰雜湊提供傳輸資料的完整性。目前支援的雜湊演算法包括 HMAC MD5 及 HMAC SHA。 (HMAC 或「雜湊訊息驗證碼」是一種私密金鑰演算法, 建立接收者可以驗證的資料數位簽名。MD5 會產生 128 位元值,而 SHA 會產生 160 位元值。 SHA 通常是比較安全的,但速度不如 MD5。) 請注意, AH 會雜湊 IP 標頭及裝載,但不會併入資料包中假定是要變更的部份 (如,躍點計數)。 因為標頭及裝載是雜湊的,AH 可以驗證地址設定資訊並保證 IP 資料尚未被更改。

防重播服務也是 AH 的一項功能。循序增加序號及滑動式接收視窗可提供 AH 及 ESP 的防重播保證。

AH 不提供資料加密格式的機密性—那是 ESP 的功能。

封裝安全承載

ESP 是 RFC 2406 中所定義的一種網際網路通訊協定。可單獨使用或與 AH 一起使用,ESP 提供資料完整性及加密。 ESP 支援的加密演算法包括 DES-CBC、56 位元 DES 及 3DES。ESP 也利用 HMAC MD5 及 HMAC SHA 以提供完整性檢查。 防重播服務的執行方式與 AH 相同。

請注意,驗證、完整性及加密演算法都已確定是 IPSec 通訊的端點間安全性交涉的一部份。 此處理稱為安全關聯性,並且將在下列各節中討論。

這兩種通訊協定都可以在兩種不同的模式中使用,稱為傳輸及通道模式。 AH 及 ESP 的基礎作業並不會依作業模式而變更—唯一變更的是資料因完整性目的而加以簽署。 傳輸模式是用來保護封包,其中通訊的端點也是加密的端點。 在通道模式中,加密的端點是一個安全性閘道,代表另一個網路提供安全性。 在此情況下,IPSec 封包在轉遞至通訊端點之前,會先經過驗證且可能會先解密。 在案例中,可以使用通道模式來建立路由器對路由器 VPN。 (如需 VPN 及遞送的相關資訊,請參閱《Windows 2000 Server Resource Kit Internetworking Guide》 中的第 9 章〈Virtual Private Networking〉。) 在傳輸模式中,標頭會放在資料包的 IP 部份及上層標頭之間, 而在通道模式中,整個 IP 封包會在另一個 IP 資料包中加密,且 IPSec 標頭會放在兩個 IP 標頭之間。

必須注意的是,雖然在通道模式中可以單獨使用 IPSec 來支援遠端存取,但朝向純 IPSec VPN 的工作仍在進行中。 目前最重要的是使用不同廠商實作的協同運作,無法在通道中使用多點傳送及廣播流量。 後者會妨礙使用 IPSec 通道模式建立路由器對路由器 VPN 連線。目前的解決方案是使用 L2TP/IPSec 以在通道中進行遠端存取連線。 L2TP 及 IPSec 的實作將在稍後討論。

由於 IPSec 在 Windows 2000 中的執行方式,銀行可能選擇在具有特定需求的區域中套用不同的 IPSec 層級。 這樣即可彈性地定義需要低、中及高安全性的區域,並分別套用 IPSec。例如,銀行可能已經決定在所有區域中都需要驗證及完整性, 但只有在某些高安全性環境中才需要機密性。 在此情況下,應用程式會如下所示:

  • 若為需要機密性的區域,則需要 ESP 及 AH 兩者。請瞭解,根據估算, 資料加密的成本非常貴。在使用 ESP 的加密功能的所有計畫中,這應該一個考量。
  • 若為不需要機密性的區域,AH 即足以提供驗證及完整性。

安全關聯性

在兩台主機可以利用 IPSec 進行通訊之前,它們必須先建立該階段作業的指導方針 (例如,驗證方法及加密演算法)。 不論要使用哪些特定的安全性設定,請考慮兩者間皆同意的安全關聯性 (SA)。 例如,如果「主機 A」想要與「主機 B」通訊,它們必須同意某些安全性設定。 它們是要使用 AH 或 ESP 來保護完整性,使用 Kerberos 或憑證進行驗證等等。

安全關聯性是單向的,表示必須建立各自的 SA 以定義傳入及傳出流量的安全性參數。 此外,如果主機要與一或多個 IPSec 主機同時通訊,則必須存在多個關聯性。安全關聯性是儲存在每一個 IPSec 電腦的資料庫中。 在資料庫中,每一個 SA 都是由每一個 AH 或 ESP 標頭中所含的「安全參數索引 (SPI)」識別。 接收者會使用此 SPI,以決定使用哪一個 SA 來處理傳入的封包。

IETF 已針對相關的金鑰交換,定義安全關聯性的建立架構。 「網際網路金鑰交換 (IKE)」會管理安全關聯性的建立,並產生用來保護資訊安全的金鑰。 IKE 使用 Diffie-Hellman 來產生及管理金鑰。 Diffie-Hellman 技術提供產生對稱式金鑰的功能,雙方可使用該金鑰來加密及解密資料。 對稱式加密需要安全的通道來交換金鑰,而 IKE 提供此通道。

附註 如果無法建立安全關聯性,可以將 IPSec 原則設定為封鎖通訊或傳送資料而不需要 SA 交涉。

ipsecl01


安全性原則

IP 安全性的基礎是識別特定類型的流量,並確定該流量是安全的。 我們的銀行想要透過 VPN 連線,保護分公司與公司網路間的流量安全。 IPSec 環境中的安全可以指已驗證、未修改且可能是已加密的。確定已在安全性原則中定義了要保護何種流量及執行的安全性層級。 Windows 2000 提供原則管理,IPSec 原則可以在其中連結電腦、站台、網域或組織單位。 原則的定義應該是依據需要或想要的組織安全性。

IPSec 原則實作是透過規則的使用來加以控制。 規則會依據來源、目的地及 IP 流量類型,來管理如何及何時呼叫 IPSec 原則。 規則含有篩選器,可以識別特定類型的流量,並在找到相符項目時套用安全性動作。 如需建立及套用「IPSec 原則」的相關資訊,請參閱本章最後的〈在 Windows 2000 中執行 IPSec 原則〉。

下面是某一規則的內容:

ipsecl02


  • [IP 篩選器清單] 定義使用此規則可以保護哪一種流量。
  • [篩選器動作] 列出一旦符合 IP 篩選器清單時,將採取的安全性動作。
  • [驗證方法] 指定是否使用 Kerberos、憑證或共用密碼來驗證每一台電腦。
  • [通道設定] 指定規則是否套用到通道。
  • [連線類型] 可以讓系統管理員指定此規則要套用到哪些連線。 三個選項為 [所有網路連線]、[LAN] 或 [遠端存取]。

    [所有網路連線] 需要套用此原則的主機檢查所有流量 (傳入及傳出)。例如, 在維護財務資料庫的 SQL 伺服器上設定此原則,表示此伺服器所傳出或接收的所有連線都需要檢查,以決定要採取的特定安全性動作。

    [LAN] 需要檢查到此主機的所有 LAN 流量。

    最後,[遠端存取] 檢查在遠端存取連線上所有連接伺服器的連線。

Windows 2000 自動含有預設的回應規則。這可確保電腦會回應安全通訊的要求, 即使沒有在要求安全通訊的電腦中定義規則。例如,如果「主機 B」要求「主機 A」的安全通訊, 但「主機 A」沒有定義「主機 B」的傳入篩選,則會呼叫預設回應值,並且將在「主機 A」及「主機 B」之間交涉安全性。 指定的規則適用於所有已定義的原則,但不必是作用中。

IPSec 驅動程式

如果已經定義 IP 原則,則在啟動時會載入 IPSec 驅動程式。它負責依據 IPSec 原則的需求, 監督所有 IP 流量及保護封包的安全。IPSec 驅動程式負責:

  • 檢閱每一個傳入及傳出的 IP 封包是否符合特定的 IP 原則篩選。
  • 要求新連線的安全關聯性。
  • 執行指定驗證方法 (例如,Kerberos 或憑證) 的原則。
  • 更新及刪除安全關聯性。

ipsecl03


處理程序概觀

IP 安全性處理程序如下:

  • IP 封包符合 IP 篩選 (IP 安全性原則的一部份)。 例如,輸出篩選器指定應保護連接埠 23 (Telnet) 上所引導的所有 TCP 流量。
  • IKE 交涉儲存在資料庫中的安全關聯性。
  • 當 IPSec 驅動程式收到傳出的封包時,即會套用已定義的安全性方法。

附註 如需 IPSec 元件的相關資訊,請參閱《Windows 2000 Server Resource Kit TCP/IP Core Networking Guide》 的第 8 章〈Internet Protocol Security〉。

AUTHEN11.GIF


商業需求

現在,我們已瞭解 IPSec 的基礎,可以將它當成銀行的解決方案來評估。這必須將客戶現行環境的檢查,以及協同運作、 效能及技術整合等特定事項併入現有的基礎結構中。 有了這個,我們才能判斷 IPSec 如何提供想要的安全性解決方案。

此外,一旦已建立優勢,就必須尋找商業需求—哪些區域需要保護,以及需要的安全性層級。

如之前所討論的,「銀行」有數種安全性需求。 「銀行」的第一個需求就是保證在特定伺服器上存取的敏感性資訊及透過網路所做的更新是可信的、不會被拒絕,而且是機密的。 這包括驗證來源及目的地主機、保證傳輸的資料完整性及提供加密服務等功能。

第二,在雷諾及奧蘭多的分公司是透過網際網路連接總公司。 這可讓銀行在分公司之間提供廣泛的連線能力,而不必在每一個分公司與總公司之間提供點對點連結。 在兩端都必須具備的是對網際網路及區域網路的連線。然而,網際網路是一種提供少許固定安全性的公用網路。 銀行如何能夠取得使用網際網路連接遠端站台與總公司的便利性,同時又能維護最高的安全性層級呢?

使用 IPSec 及 Windows 2000 所提供的技術,即可滿足這兩種需求。在下一節中, 我們將說明銀行如何使用 IPSec 及 Windows 2000 來達成這些目標。

在 Windows 2000 中執行 IPSec 原則

一般而言,IPSec 原則的執行可以滿足電腦、網域或組織單位的安全性需求。 確定銀行的安全性需求後,可以讓我們瞭解要在哪一個層級上套用 IPSec 原則。在我們已經識別過的銀行案例中, 凡是與總公司中主管財務的安全伺服器通訊的所有主機,都必須經過驗證。 實際上,此資料是位在已被指派靜態 IP 位址的安全伺服器上。已經在內部執行公開金鑰基礎結構 (PKI) 以進行內部網路通訊, 所以銀行會想要使用 x.509 憑證來提供 IPSec 主機驗證。此資料也需要利用 IPSec 所提供的加密服務加以保護。 因為所有「銀行」通訊都是在美國境內,所以 3DES 加密可以提供最強的演算法。此外, 還記得在雷諾及奧蘭多的分公司嗎?它們目前是透過 PPTP 使用路由器對路由器 VPN 連線到總公司。 基於使用公用網路 (如網際網路) 作為此連線能力骨幹的固定安全性風險, 以及無法使用 PPTP 來提供主機驗證,銀行選擇執行「第二層通道通訊協定 (L2TP)」與 IPSec 以提供驗證、完整性及機密性。 我們將在稍後章節中討論 L2TP 的特定詳細資料與優點。

此時,我們已識別出銀行的需求且執行準備就緒。Windows 2000 提供介面, 可以在本機建立及管理 IPSec 實作,或作為 Active Directory 中 [群組原則] 實作的一部份。

預先定義的原則

在預設狀況下,Windows 2000 含有三個預先定義的原則:用戶端、安全伺服器及伺服器。 我們的第一個銀行作業就是確定是否要套用任何預設原則,或是否有必要建立自訂原則以滿足其需求。 在預設狀況下,沒有任何預先設定的原則是作用中。原則如下:

  • 用戶端 (僅回應) 可讓用戶端依據預設回應規則中的設定,回應另一台要求安全性的電腦。 啟用此原則,用戶端永遠都不會要求安全性,但會依據連接的主機來交涉 IPSec。 這可以讓銀行將用戶端電腦設定為要求安全通訊,但不起始要求。
  • 安全伺服器 (需要安全性) 可讓伺服器先進行 IPSec 交涉,然後才能連線。 此原則將容許不安全的傳入通訊,但傳出的流量一律會受到保護。在必須永遠保護資料的案例中,銀行可以執行此原則。
  • 伺服器 (要求安全性) 可讓伺服器要求 IPSec 交涉,但如果另一台電腦不是 IPSec 感知, 則將容許不安全的通訊。銀行可以在 IPSec 啟用的電腦間使用此原則來執行安全性,而無需犧牲與非 IPSec 啟用電腦的協同運作。

若要檢視本機 IPSec 原則

請開啟 Microsoft Management Console,並新增 [IP 安全性原則管理] 嵌入式管理單元:

  1. 按一下 [開始],再按一下 [執行] 後輸入 MMC,然後按下 [確定]。
  2. 在 [MMC] 中,依序按下 [主控台]、[新增/移除嵌入式管理單元] 及 [新增]。
  3. 按一下 [IP 安全性原則管理],再按一下 [新增]。

ipsecl04


在大部份的實例中,預設原則將提供必要的安全性。然而,您可以自訂原則或建立新原則,以滿足其他的安全性需求。

在銀行使用 IPSec 原則

此時,我們可以清楚的知道銀行有某些安全性需求,而透過 IPSec 及相關技術可以支援這些需求。 然而,開發 IPSec 實作策略所涉及的層面不只是技術本身而已。在部署 IPSec 之前, 設計者也必須考慮到想要的功能,以及讓客戶滿意此技術所需耗費的時間、勞力與成本。其他要考慮的問題:

  • 對效能的衝擊?執行 IPSec 將增加處理器使用率、增加 IP 流量並增加 IP 封包大小。
  • 這對現有網路所造成的影響?對銀行來說, 在少數實際上正在使用 IPSec 的機器上,額外的處理電源及網路上的負荷均已超出安全考量。 但這不表示在每一個環境中都是這種狀況。必須仔細考慮所有因素,才能順利完成實作。 如果效能確實是一個問題,那麼專用的網路卡也許是適當的解決方案。1

建立網域的原則

所以:我們已評估過銀行的商業需求,並且已識別相關的技術,現在執行準備就緒。 銀行想要確定在主管機密資訊的安全伺服器及存取該資料的主機間,保證所有流量都是可信、未修改且已加密的。 驗證會利用 x.509 憑證來執行現有的 PKI。使用 HMAC-MD5 來提供完整性檢查,並使用 3DES 來執行資料加密。 利用 Windows 2000 的 [群組原則] 功能可以完成此處理,以散佈 IPSec 規則。回想 IPSec 原則可以在本機電腦、 網域或組織單位層級上執行。因為針對銀行所執行的原則只套用於少數伺服器, 所以最好將那些伺服器置於一個組織單元。然後,原則就可以套用於該組織單位,藉由特定組織單位, 位於其中的伺服器就可以套用該原則了。這就能消除所有其他電腦上的不必要的處理程序。

另外還有一個要考慮的元素—用戶端電腦。在預設狀況下,沒有任何 IPSec 原則會套用到 Windows 2000 環境中的主機。 然而,為了讓用戶端在安全伺服器要求安全性時能夠適當地回應,我們必須套用提供那些指示的原則。 主機電腦必須能夠使用憑證來回應驗證要求,並交涉想要的加密。 將預設網域原則修改為支援憑證,並且在網域層級上指派用戶端原則,就可以完成此處理。

指派及修改預設用戶端原則以容許憑證驗證

銀行已執行憑證管理中心 (CA),它是負責發出及維護所有用戶端憑證。 您可以編輯預設回應規則以指定憑證管理中心,即可修改原則。

  1. 在 [用戶端 (僅回應)] 內容表的 [規則] 索引標籤中,選取 [預設回應] 篩選器動作,再按一下 [編輯]。

    ipsecl05  


  2. 在 [編輯規則] 內容表的 [驗證方法] 索引標籤中,按一下 [新增]。

    ipsecl06  


  3. 在 [新驗證方法] 內容表中,選取 [使用下列憑證授權單位 (CA) 的憑證],再按一下 [瀏覽]。
  4. 選取想要的憑證管理中心,然後按一下 [確定]。

    附註 新增憑證管理中心後,在 Kerberos 驗證刪除不必要的驗證嘗試之前,請確定它已列出。

    ipsecl07  


  5. 在詳細資料窗格的 [用戶端 (僅回應)] 原則上按一下滑鼠右鍵,再按一下 [指派]。

    IPSECL08.GIF


處理此原則的主機電腦將回應安全通訊的要求並將交涉安全關聯性,但如果用戶端沒有要求,則同一台主機將不使用安全通訊。

將安全伺服器設定為需要 IPSec

下一步是設定伺服器的原則:需要憑證驗證、完整性及加密。 此外,原則不容許任何非 IPSec 通訊。這可確保只有在原則中指行的受信任者可以進行存取。

設定需要三個步驟。

  • 第一,必須將 [安全伺服器] 的 IPSec 原則修改為需要有效憑證來進行驗證。
  • 第二,必須定義篩選,指定從任何來源傳入安全伺服器的流量。 使用 [新增篩選精靈],可以簡化此步驟。它可以指定從 [任何 IP 位址] 到 [我的 IP 位址] 的流量作為受此原則影響的範圍。 由於原則只會套用到 SecureServers 組織單位中的電腦,因此可以確保在那些電腦上所輸入及輸出的所有流量都是可信、 未修改且已加密的。
  • 第三,銀行還另外選擇了要執行 3DES 作為預設的加密演算法。也可以透過原則來執行此修改。

    附註 在預設狀況下, 所有篩選都是「鏡像」。這會指定來源及目的地位址反轉的封包也會符合此篩選。 如需設定 IPSec 原則的相關資訊,請參閱 《Windows 2000 Server Resource Kit TCP/IP Core Networking Guide》 的第 8 章〈Internet Protocol Security〉。

執行 IPSec 作為 VPN 解決方案

銀行的第二個需求是執行 IPSec 作為整體 VPN 策略的一部份, 以保護分公司與總公司之間的資料安全。如之前所述,IPSec 可以與「第二層通道通訊協定 (L2TP)」一起使用, 以保護主機之間及路由器及/或閘道之間的流量安全。在 VPN 上尋找銀行的 IPSec 實作之前,先簡短地說明 VPN 的概念。

虛擬私人網路 (VPN) 容許透過一個共用或公用網路 (如網際網路),在兩台電腦間進行通訊。 用戶端的連線會顯示為一個專用的點對點連結。透過 VPN 傳輸的資料會使用標頭壓縮, 以便能在公用網路上遞送。在 VPN 伺服器上收到封包之後,標頭就會解壓縮,然後將封包轉遞到私人網路中的目的地。 公用網路提供傳送資料的基礎結構。VPN 的建立是由各種通道通訊協定處理,例如, 「點對點通道通訊協定 (PPTP)」或「第二層通道通訊協定 (L2TP)」。 請參閱下表中有關 L2TP/IPSec 及 PPTP 的比較及建議用法。
 

支援的功能
PPTP
L2TP/IPSec
使用密碼/radius 的使用者驗證
使用智慧型/權杖 (token) 的使用者驗證是,使用 EAP2 是,使用 EAP
主機驗證否,僅使用者

是,具有使用 x.509 憑證的 PKI 基礎結構
網址轉換 (NAT) 功能目前沒有
非 IP 通訊協定
通道用戶端的內部 IP 位址
IP 廣播、多點傳送
加密方法提供 40 位元或 128 位元加密的「Microsoft 點對點加密 (MPPE)」40 位元 DES、56 位元 DES 及使用 128 位元加密的 3DES

功能
PPTP 或 L2TP/IPSec?
需要提供 NAT 服務PPTP
最強的安全性L2TP/IPSec
與 Windows 9x 及 Windows NT 的相容性PPTP
加密技術的硬體加速IPSec
原則基礎實作IPSec

透過個別的通訊協定 (如 IPSec),可以提供壓縮的資料加密。 這可確保在傳輸期間所截取的資料是無法辨識的。 注意 L2TP 連線可以不需要 IPSec;然而,如果 VPN 沒有 IPSec 所提供的保證資料隱私權, 則是不明智的。 此外,IPSec 可以用來建立通道而不使用 L2TP,但其中有數種含意則已超出我們的討論範圍。 3 當 IPSec 驅動程式收到 L2TP 封包時,它會檢查看看 IPSec 原則是否含有此封包。 依據原則中的設定,IPSec 會使用適當的 ESP 標頭及標尾來壓縮訊息。

透過 IPSec 執行 L2TP 的電腦驗證必須在 VPN 用戶端及 VPN 伺服器上都安裝憑證。 如果不希望這麼做,則可以設定預先共用的金鑰以提供 VPN 用戶端及伺服器的驗證。

附註 這並不像機器憑證一樣安全,但對於沒有憑證基礎結構的小型組織, 則可提供執行的替代方案。 如需設定憑證的相關資訊,請參閱《Microsoft Windows 2000 Server Resource Kit Deployment Planning Guide》的第 12 章〈規劃公開金鑰基礎結構〉; 《Microsoft Windows 2000 Server Resource Kit Distributed Systems Guide》的第 13 章〈選擇使用公開金鑰技術的安全性解決方案〉; 及《Microsoft Windows 2000 Server Resource Kit Distributed Systems Guide》的第 16 章〈Windows 2000 憑證服務及公開金鑰基礎結構〉。 如需在 IPSec 上設定 L2TP 以使用預先共用的金鑰的相關資訊, 請參閱《Windows 2000 Server Resource Kit Internetworking Guide》的第 9 章〈Virtual Private Networking〉。

使用 IPSec 及 L2TP 以保護分公司流量安全

在預設狀況下,Windows 2000 網域中的所有電腦及使用者都會利用 Kerberos V5 通訊協定進行驗證。 IPSec 會利用 Windows 2000 安全性服務來提供連接主機的驗證。 然而,如果要與不支援 Kerberos V5 或任何 L2TP 遠端存取的電腦進行網際網路存取及通訊, 在此情況下,使用公開金鑰憑證是一種替代方法。 事實上,L2TP/IPSec 的 Windows 2000 實作需要以憑證驗證參加的主機。使用憑證進行機器驗證, 至少需要一個信任的憑證管理中心 (CA)。銀行執行獨立根 CA,以提供憑證給用戶端電腦。 亦請注意,Windows 2000 提供大部份工業標準 CA 的支援,如 VeriSign 及 Entrust。

銀行目前提供 Windows 2000 PPTP 支援,以在分公司及總公司之間進行連線。 分公司路由器會連接到網際網路,然後使用 PPTP 來存取 VPN 伺服器及公司網路。 因為網際網路中固有的不安全性, 網路管理員會想使用 L2TP 及 IPSec 來執行通道。 銀行具有從分公司及公司 HQ 路由器對網際網路的永久連線 (T1)。 對 LAN 的連線是安裝在 Windows 2000 路由器中的一個配接卡。

ipsecl09


實作

為了在 IPSec 連線上使用 L2TP,VPN 伺服器及用戶端都必須具有機器憑證以進行驗證。 回想這已在第一個案例中設定為「銀行」的部份預設原則。「Windows 2000 路由及遠端存取」提供 PPTP 及 L2TP 通道的支援。 如需在 Windows 2000 中設定 [路由及遠端存取] 的相關資訊, 請參閱線上說明,或《Windows 2000 Server Resource Kit Internetworking Guide》的第 7 章〈遠端存取伺服器〉。

在分公司路由器上,有必要設定將用來存取公司 HQ 路由器的連線。 這將會是連接到網際網路的介面。此「銀行」的介面設定還包括指定通道端點。請注意, 因為此連線是用於路由器對路由器連線,所以通道兩端的設定必須進行鏡像處理。 銀行所使用的處理程序說明如下。大部份的處理程式是由精靈引導,且可以從 [路由及遠端存取] 中呼叫。 相關資訊,請參閱設定 L2TP 型路由器對路由器 VPN 的線上說明。

若要使用 L2TP/IPSec 設定路由器對路由器 VPN 解決方案

  1. 在 [路由及遠端存取] 嵌入式管理單元的樹狀窗格中, 在 [路由介面] 上按一下滑鼠右鍵,然後按一下 [新增指定撥號介面]。即會出現 [指定撥號介面精靈]。

    ipsecl10
     

  2. 輸入新介面的名稱,並按一下 [下一步]。

    ipsecl11  


  3. 在 [連線類型] 中選取 [使用虛擬私人網路 (VPN) 來連線],然後按一下 [下一步]。

    ipsecl12  


  4. 在 [VPN 類型] 中選取 [第二層通道通訊協定 (L2TP)],然後按一下 [下一步]。

    ipsecl13  


  5. 在 [目的地位址] 中輸入主機名稱或 IP 位址,然後按一下 [下一步]。

    ipsecl14  


  6. 在 [通訊協定及安全性] 中選取 [路由處理這個介面上的 IP 封包],然後按一下 [下一步]。

    ipsecl15  


  7. 在 [撥出憑證] 中輸入使用者名稱、網域、密碼及確認密碼後,按一下 [下一步]。

    ipsecl16
     

  8. 按一下 [完成],即可完成設定處理。

在介面的內容表中,還可以設定連線的其他必要選項設定,如介面的 IP 位址、安全性等等。

ipsecl17

由於 VPN 伺服器提供從外面世界對公司網路的一個存取點, 所以可能需要特殊篩選以確保在 VPN 伺服器上不會拒絕 IPSec 封包。若要防止 L2TP/IPSec 以外的流量傳送到公司網路, 必須使用 [路由及遠端存取] 嵌入式管理單元來設定 VPN 伺服器,如下所示:

  • TCP 連接埠 50 及 51 用於輸入及輸出 IPSec AH 及 ESP 流量。
  • UDP 連接埠 500 (輸入及輸入),用於 IKE 交涉流量。

請注意,您必須在連線的兩端都完成這些步驟,才能讓路由器對路由器 VPN 適當地運作。 如需建立這些連線的相關資訊,請參閱《Windows 2000 Server Resource Kit Internetworking Guide》一書中下列各章: 第 2 章〈Routing and Remote Access Service〉、第 7 章〈Remote Access Server〉以及第 9 章〈Virtual Private Networking〉。

結論

規劃 IPSec 實作必須瞭解基礎技術,以及如何在 Windows 2000 中執行及管理它們。 Windows 2000 提供整合的部署及管理基礎結構,以簡化您的 IPSec 部署。

為了能順利執行 IPSec,必須考慮數件事情。第一,評估要在網路上傳送的資訊本質與類型,以及保護該資料安全的必要性。 它是否是敏感性專屬資訊?網路的部份區域可能需要增加安全性層級,其他區域保持原樣即可。 將區域分類為需要高安全性、中安全性及低安全性,有助於說明專案計畫。 成功的規劃包括評估攻擊的風險及易感染性,以及依據收集到的資訊決定策略。

此外,還要識別如何在網路上傳送資料—如何傳送它?要從公司網路外面 (透過 VPN 連線) 來存取它嗎? 成功的計畫應平衡環境的安全性需求與安全性計畫的實作與管理。 Windows 2000 透過 IPSec、L2TP、群組原則、Kerberos 及憑證的支援提供整合的結構,使您能盡可能簡單地在環境中執行安全性。

參考資料

如需執行本書中所討論的特定設定的進一步相關資訊,請參閱下列各項:

Microsoft Corp. Microsoft Windows 2000 Server Resource Kit Deployment Planning Guide (http://www.microsoft.com/resources/documentation/windows/2000/server/reskit/en-us/deploy/sdgintro.mspx). Redmond, WA: Microsoft® Press, 2000.

Microsoft Corp. Microsoft Windows 2000 Server Resource Kit Distributed Systems Guide. Redmond, WA: Microsoft Press, 2000.

Microsoft Corp. Microsoft Windows 2000 Server Resource Kit TCP/IP Core Networking Guide. Redmond, WA: Microsoft Press, 2000.

c 2000 Microsoft Corporation.All rights reserved.

本文件中所包含的資訊,代表 Microsoft Corporation 於發行日前針對該事件的觀點。由於 Microsoft 必須反應市場條件的變更, 因此不應解釋為 Microsoft 的承諾。在發行日之後,Microsoft 不保證文件中任何資訊的正確性。

此白皮書僅供參考使用。MICROSOFT 對於本文件中各項資訊,不作任何明示或默示的保證。

Microsoft、Microsoft Press、Windows 及 Windows NT 是 Microsoft 在美國及 (或) 其他國家的註冊商標或商標。

1 如果 IPSec 在計算上的額外負荷夠高,請考慮執行硬體解決方案。卸載網路介面卡 (NIC) 可將許多 IPSec 處理卸載至 NIC。 3Com 及 Intel 目前支援數種 NIC 的卸載功能。Intel 所完成的效能測試表示將運算卸載至 NIC,所增加的效能非常驚人。 相關資訊,請連絡特定的供應商。

2 EAP 支援「可延伸的驗證通訊協定」,它可以在用戶端及遠端存取伺服器間交涉使用的驗證方法。 例如,生物測定裝置、記號卡等的延伸功能。

3 最顯著的是,IPSec 通道大部份是次網路間的單點傳播連線。多點傳送及廣播與路由通訊協定的協同運作定義並不好。 此外,大部份 IPSec 通道模式解決方案都是專屬實作, 很難與個別的廠商解決方案整合。基於這些理由,L2TP/IPsec 似乎是目前較為可行的解決方案。

顯示: