本章提供有关如何获取必要信息来规划与部署服务器和域隔离解决方案的信息。 成功的部署要求准确地了解最新的信息技术 (IT) 基础结构。 阅读本章后,您将对完成服务器和域隔离解决方案设计所需的信息有很好的了解。
本章最后讨论有关了解并记录标识的哪些计算机很可能可以充当解决方案中“受信任”的计算机的过程。 设计小组在制定解决方案的规划时,将需要这些信息。
本页内容
 | 本章先决条件 |
| | 本章的目标读者 |
| | 确定当前状态 |
| | 容量事项 |
| | 部署前的考虑事项 |
| | 信任确定 |
| | 预计当前主机的升级成本 |
| | 总结 |
本章先决条件
在使用本章中的信息之前,应确保您和您的组织符合以下先决条件。 本章提供的指导专门用于满足基本符合这些先决条件的组织的需求。 无法满足所有这些先决条件不一定会对您的项目产生负面影响,但如果满足这些先决条件,将可以最大程度地实现本指南的价值。
预备知识
应熟悉 IPsec 的概念,同时充分了解以下各项:
| • | Microsoft® Windows® 身份验证(特别是 Kerberos V5 身份验证协议) |
| • | Active Directory® 目录服务概念,包括 Active Directory 结构和工具;操纵用户、组和其他 Active Directory 对象;以及组策略的使用 |
| • | Windows 系统安全,包括安全概念,如用户、组、审核和访问控制表 (ACL) |
| • | 组织的系统命名约定 |
| • | 组织的地理位置和逻辑位置 |
| • | 组织中使用的风险管理实践 |
| • | 核心网络概念,包括使用防火墙实现端口筛选 |
在继续本章之前,还应阅读本指南的前面各章并充分了解本解决方案的体系结构和设计概念。
组织先决条件
为组织规划隔离组这一任务通常涉及许多不同的人。 确定确切的要求所需的信息通常来自整个组织中的许多来源。 应咨询组织中的其他成员的意见,他们可能需要参与规划这些组,包括以下人员:
| • | 行政负责人 |
| • | 安全和审核人员 |
| • | Active Directory 工程、管理和操作人员 |
| • | DNS(域名系统)、Web 服务器和应用程序所有者 |
| • | 网络管理和操作人员 |
| • | 内部教育和咨询台人员 注: 根据 IT 组织结构的不同,这些角色可能由许多人担任,也可能由较少的人担任多个角色。 |
除了需要列出的小组提供的信息外,了解以下一点也很重要:将 IPsec 引入环境后,将需要更新当前的操作实践。 也可能需要更新软件和硬件,如网络设备的 BIOS 和固件更新。 最后,还可能需要使用其他网络工具来帮助支持 IPsec 环境和对 IPsec 环境进行疑难解答。
IT 基础结构的先决条件
本章还假定存在以下 IT 基础结构:
| • | 以混合模式或纯模式运行的 Microsoft Windows Server™ 2003 Active Directory 域。 本解决方案使用通用组应用组策略对象 (GPO)。 如果组织不是以混合模式或纯模式运行,仍然可以通过使用标准全局和本地组配置来应用 GPO。 但是,由于这种方法管理起来很复杂,本解决方案未予采用。 注 :Windows Server 2003 引入了许多影响 IPsec 策略的改进。 本解决方案没有任何特别之处会妨碍它与 Windows 2000 一起工作。 但是,只使用 Windows Server 2003 Active Directory 对本解决方案进行了测试。 有关 Windows Server 2003 中对 IPsec 所做的增强的详细信息,请参阅 Microsoft 网站上的“New features for IPsec”页面,网址为 www.microsoft.com/resources/documentation/ WindowsServ/2003/standard/ proddocs/en-us/ipsec_whatsnew.asp。 |
| • | 具备执行网络监控、分析监控数据以及根据该数据制定容量规划决策的能力和专业知识。 注 :在许多组织中,网络监控工具的使用受到限制,因此使用这些工具时应注意确保遵循正确的操作过程。 |
| • | 具备可以捕获网络上的主机的网络配置数据的工具。 例如,可使用现有的资产管理系统来收集这些信息。 有关详细信息,请参见本章的“主机发现”一节。 |
返回页首
本章的目标读者
本章的目标读者是负责创建 IT 基础结构清单的 IT 专业人员,他们创建的清单将供解决方案架构师和设计人员使用。 这些 IT 专业人员通常是组织的支持成员或操作人员。 要从本章获得最大益处,需要在技术上对信息收信过程中采用的工具和技术以及组织的当前基础结构有很好的了解。
返回页首
确定当前状态
获取和维护组织的计算机、软件和网络设备的可靠记录这一过程是 IT 长久以来面临的挑战。 项目的成功依赖于从这一过程中获取的信息。 在开始服务器和域隔离项目的规划过程之前,需要收集和分析组织中已部署的计算机、网络和目录服务的最新信息。 这些信息使您创建的设计可以考虑到现有基础结构所有可能的要素。 如果收集的信息不准确,当在实施期间遇到在规划阶段未考虑的设备和计算机时,则可能会出现问题。 以下各节将概述每个方面的必需信息,并提供为 Woodgrove Bank 服务器和域隔离解决方案收集的信息示例。
网络探测
因为 IPsec 分层在 Internet 协议本身之上,所以规划服务器和域隔离最重要的方面可能是网络体系结构。 如果对网络的理解不完整或不准确,将无法成功实施任何隔离解决方案。 理解子网布局、IP 寻址方案和通信模式是此工作的一部分,但以下两个部分对于完成此项目的规划阶段尤为重要:
| • | 记录网络分段 |
| • | 记录当前网络通信模型 |
目的是为了拥有足够的信息,以便除了按物理位置标识某项资产外,还可按网络位置标识。
最好以这样的网络体系结构作为起始点:经过精心设计,地址范围易于辨识,并且重叠或不连续的范围尽可能少。 可能有特定业务要求或环境(如兼并或收购)不允许使用“简化的”网络,但如果记录了当前状态并理解它,标识网络及其管理的资产的任务就简单多了。 不要使用复杂而且记录拙劣的网络作为设计的起始点,因为这种网络的未标识区域太多,在实施期间很可能带来问题。
本指南帮助获取与规划服务器和域隔离最相关的信息,而不尝试解决其他问题,如 TCP/IP 寻址和可变长度子网屏蔽、虚拟局域网 (VLAN) 分段或其他网络优化方法和技巧。 获取的信息将用于阐述服务器和域隔离解决方案的实施和操作部分。
记录网络分段
如果您的组织未记录当前的网络体系结构而没有记录文档可用来参考,则在继续此解决方案之前,应尽快获得这样的文档。 如果记录的信息不是最新的或最近未验证过,您有两种基本选择:
| • | 接受会给项目带来不必要的风险的信息。 |
| • | 通过手动过程或使用网络分析工具执行探测项目,网络分析工具可提供记录当前网络拓扑所需的信息。 |
虽然可以用多种不同的方式表示所需的信息,但是一系列示意图通常是说明和了解当前网络配置的最有效方法。 在创建网络图时,应试图避免加入过多信息。 如有必要,可使用多个图来显示不同的详细层次。
例如,在 Woodgrove Bank 方案中,小组创建了下图来说明其现有广域网 (WAN) 和站点环境的高级视图。
查看大图
小组创建此图后,继续对每个站点、最终对每个站点内的每个子网创建更详细的图。
在记录网络时,可能会发现某些网络应用程序和服务与 IPsec 不兼容。 当前这种不兼容情况的示例包括:
| • | 路由器上的 Cisco NetFlow 无法根据协议和端口分析 IPsec 成员之间的数据包。 |
| • | 基于路由器的服务质量 (QoS) 无法使用端口和协议来确定通信流的优先级。 但是,使用特定的 IP 地址来确定通信流的优先级并不受影响。 例如,“从任何人到使用端口 80 的任何人优先”规则无法正常工作,而“从任何人到 10.0.1.10 优先”规则却不受影响。 |
| • | 设备不支持或不允许封装式安全措施负载 (ESP) 使用的 IP 协议端口 50。 |
| • | 加权公平队列和其他基于流量的路由器通信流优先方法可能失效。 |
| • | 网络监视器可能无法分析未加密的 ESP 数据包 (ESP-Null)。 注: Microsoft 网络监视器版本 2.1 添加了 ESP 分析器,帮助解决未加密的 IPsec 数据包的问题。 网络监视器随 Microsoft Systems Management Server (SMS) 附带。 有关详细信息,请参阅“Microsoft Systems Management Server”页面,网址为 www.microsoft.com/smserver/。 |
| • | 如果设备无法分析 ESP,将不会对 ESP 数据包处理指定端口或协议规则的任何 ACL。 |
| • | 如果设备有 ESP 分析器并且使用了加密,将不会对 ESP 数据包处理指定端口或协议规则的 ACL。 |
当使用端口和协议时,IPsec 会打破基于网络的优先级设置和基于端口/协议的通信流管理。 遗憾的是,没有适用于加密数据包的变通办法。 如果通信流管理或优先级设置必须基于端口或协议,则主机本身必须能够胜任所有通信流管理或优先级设置功能。
其次,准确地记录网络中的各种设备所需的信息也很重要。
网络基础结构设备
在实施本解决方案后,组成网络基础结构的设备(路由器、交换机、负载平衡器和防火墙)将使用 IPsec 进行通信。 因此,要检查网络上这些设备的以下特征,以确保它们能够处理本设计的技术和物理要求,这一点很重要:
| • | 品牌/型号 。 可以使用此信息来确定设备支持的功能。 此外,还应检查设备上运行的 BIOS 或软件,以确保该设备支持 IPsec。 |
| • | RAM 量 。 在确定 IPsec 的容量或它对设备的影响时,此信息很有用。 |
| • | 通信量分析 。 掌握此信息(除显示设备日常使用的每日/每周趋势外,还包括其峰值使用率)始终很有用。 就 IPsec 而言,此信息可帮助提供设备的快照以及它在一段时间内的使用情况。 如果在实施 IPsec 后出现问题,此信息可帮助确定根本原因是否与设备的高使用率有关。 |
| • | 直接影响 IPsec 的 ACL 。 ACL 会直接影响某些协议工作的能力。 例如,如果不允许 Kerberos 协议(用户数据报协议 [UDP] 和 TCP 端口 88)或 IP 协议(不是端口,而是协议)50 或 51,IPsec 将无法工作。 如果使用网络地址转换遍历 (NAT-T),还必须将设备配置为传递 Internet 密钥交换 (IKE) 通信流(UDP 500 和 4500)。 |
| • | 与设备接口连接的网络/子网 。 此信息可帮助提供对内部网络状况的最佳可能分析。 根据地址范围定义网络边界非常直接,有助于确定其他地址是不受管理地址还是与内部网络无关的地址(如 Internet 地址)。 此信息是本指南后续各章中所作的 IPsec 策略决策的必要信息。 |
| • | 设备是否执行网络地址转换 (NAT) 。 网络地址转换通常用来对连接的网络或 Internet 将整个地址范围表示为单个 IP 地址。 解决方案规划人员应该清楚网络上是否发生此过程。 注: Microsoft 知识库 (KB) 文章 818043“用于 Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新”以 Windows XP Service Pack (SP) 1 和 Windows 2000 SP4 的可下载修复程序的形式提供了 NAT-T 功能,网址为:http://support.microsoft.com/kb/818043。 但是,除非安装了 Windows XP SP2 或 Windows Server 2003 SP1,否则 IPsec 响应方无法正常工作。 |
| • | VLAN 分段 。 确定当前网络上如何实现 VLAN 将有助于了解当前存在的通信流模式或安全要求,同时确定 IPsec 将如何加强或可能影响这些要求。 |
| • | 设备所连接的链路 。 此信息有助于确定设备维持的连接在哪些网络之间。 还有助于标识特定接口上各个位置的逻辑网络和连接。 |
| • | 设备接口的最大传输单位 (MTU) 大小 。 MTU 定义可在特定接口上传输的未拆分为多段(这一过程也称为“分段”)的最大数据报。 在 IPsec 通信中,需要使用 MTU 来确定是否分段。 为符合 Internet 安全关联和密钥管理协议 (ISAKMP),必须由路由器跟踪数据包分段。 IPsec 将沿使用的通信路径把会话的 MTU 大小配置为最低发现 MTU,并将“不分段”位(DF 位)设置为 1。 注: 如果启用了路径 MTU (PMTU) 发现并且工作正常,则不必收集设备接口的 MTU 大小。 一些信息来源(如“Windows Server 2003 强化指南”)建议禁用 PMTU 发现。 但是,要使 IPsec 正常工作,必须启用 PMTU 发现。 |
另外请注意,由于解释数据包中的数据需要特定的分析器,IPsec 可能会影响入侵检测系统 (IDS)。 如果 IDS 没有分析器,它将无法检查这些数据包中的数据,从而无法确定特定会话是否存在潜在威胁。 这种情况下,决定使用 IPsec 就表示您的组织对 IPsec 的需求更甚于对 IDS 的需求。
本节列出的信息对于项目的成功至关重要。因为这些信息可帮助您先了解网络基础结构的当前配置和“健康”状况,再使用 IPsec 来配置这些设备或对这些设备分配额外的负载(如果已将这些设备配置为传递 IPsec 通信流)。 通过研究峰值使用率信息,可以确定设备是否能在当前状态下使用 IPsec,或者是否需要升级内存或固件以支持期望的负载。 在获取用来升级设备的硬件(如有必要)时,品牌和型号信息将很有用。 该品牌或型号特有的其他配置参数或功能的信息也可能会有所帮助。 设备上配置的 ACL 数可用来估计配置这些设备以支持 IPsec 所需的工作量。 如果网络上的设备均未配置为允许 IPsec 通信流,而网络上有许多路由器,那么设备配置可能是一项繁重的工作。
获得此信息后,您可以迅速确定是否有必要升级设备以支持项目的要求、是否有必要更改 ACL 或采取其他措施以确保设备能够处理期望的负载。
当前网络通信流模型的分析
收集寻址和网络基础结构信息后,下一逻辑步骤就是仔细检查通信流向。 例如,如果某个部门(如人力资源部 (HR))分布在几栋建筑物中,而您希望在该部门使用 IPsec 来加密信息,那么就需要了解这些建筑物如何连接,以确定在连接中使用的“信任”级别。 如果使用铜线电缆将某栋高度安全的建筑物与另一未受保护的建筑物连接,那么这栋高度安全的建筑物可能受到窃听或信息重放攻击。 如果这种攻击会带来威胁,IPsec 可为受信任主机提供强的双向身份验证和通信流加密。 但是,该解决办法不能消除这样的事实:受信任主机缺乏物理安全仍将是一个威胁。
当您检查通信流时,仔细观察所有被管理和未被管理的设备如何交互操作,包括 Windows 2000 SP4 之前的 Windows 版本以外的非基于 Windows 的设备,如 Linux、UNIX 和 Mac。 思考一些类似问题:某些通信是否在端口/协议层发生?相同主机之间是否存在许多跨越各种协议的会话? 服务器与客户端之间如何通信? 当前实施或规划的某些安全设备或项目是否可能影响隔离项目? 例如,使用 Windows XP SP2 和 Windows 防火墙“锁定”某些端口(如 UDP 500)可能会导致 IKE 协商失败。
当使用第 2 章“了解服务器和域隔离”中执行的威胁建模过程来检查各种类型的网络通信流时,将很容易发现,应从不受信任或未被管理的设备来保护生成通信流的协议和应用程序的安全。 一些较为常见的应用程序和协议包括:
| • | TCP/IP 上的 NetBIOS (NetBT) 和服务器消息块 (SMB) 。 在 LAN 中,通常会为 NetBT 启用端口 137、138 和 139 并为 SMB 启用端口 445。 这些端口提供 NetBIOS 名称解析服务及其他功能。 遗憾的是,它们也为创建空会话提供机会。 “空会话”是在不使用已知用户或实体的安全上下文的主机上创建的会话。 这些会话一般是匿名的。 |
| • | 远程过程调用 (RPC) 。 通常,RPC 的操作方式如下:为应用程序提供一个侦听端口(也称为终结点映射程序,TCP 端口 135),接着该端口通知“调用者”(通常是另一应用程序)在短暂的时间范围内开始在另一端口通信。 在使用防火墙分段的网络中,这种 RPC 通信会带来一个配置难题,因为它意味着要打开 PRC 侦听端口和 1024 以上的所有端口。 打开如此多的窗口将增加整个网络的受攻击面,降低防火墙的效用。 但是,RPC 的优势在于它对使用它的应用程序抽象地表示了开放式系统互连 (OSI) 模型 1 至 4 层的功能,因此开发者不必为他们的分布式应用程序提供低级网络调用。 因为许多应用程序都依赖 PRC 执行基本功能,IPsec 策略也需要依赖 RPC。 有关创建 IPsec 策略的详细信息,请参阅第 5 章“为隔离组创建隔离策略”。 |
| • | 其他通信流 。 通过对数据包中所包含的数据加密并提供数据包身份验证,IPsec 可帮助确保主机之间的传输安全。 重要的是要确定需要保护的内容和必须减缓的威胁。 应检查需要安全保护的其他通信流或通信流类型并适当地建模。 例如,仅允许少数客户端访问的特殊用途的数据库,或仅供 HR 管理人员使用的 HR 小组专用应用程序。 |
记录物理网络和逻辑网络后,下一步就是检查当前的通信流模式并回答下列问题:
| • | 当前是否存在专用于特定通信流类型的子网(如 Mac 工作站和 UNIX 工作站,或大型机至终端连接)? |
| • | 是否需要将不同类型的通信流或不同位置之间的通信流分开? |
Active Directory
Active Directory 是在网络之后最重要的项,用来从中收集信息。 您应该了解林结构,包括域布局、组织单位 (OU) 体系结构和站点拓扑。 此信息便于您了解计算机的当前位置、它们的配置以及因实施 IPsec 而对 Active Directory 进行更改将产生的影响。 下面列出了完成此部分发现工作必需的信息。
| • | 林的数量 。 由于林是 Active Directory 实施中的安全边界,有必要了解当前的 Active Directory 体系结构,以确定应隔离哪些主机以及如何隔离。 |
| • | 域的名称和数目 。 IPsec 身份验证是 IKE 协商过程的结果。 本解决方案中的身份验证方法是 Kerberos 协议。 此协议假定计算机加入了域,并且满足操作系统版本先决条件(Windows 2000、Windows XP 或 Windows Server 2003)。 |
| • | 信任的数目和类型 。 获得信任的数目和类型非常重要,因为信任不但影响隔离的逻辑边界,而且还定义在本解决方案中可以(或应该)如何进行 IKE 身份验证。 |
| • | 站点的名称和数目 。 站点体系结构通常与网络拓扑一致。 了解站点在 Active Directory 中的定义将有助于深入了解复制及其他详细信息。 在本解决方案中,站点体系结构提供了对 Active Directory 实施(如果当前存在)的进一步了解。 |
| • | OU 结构 。 在创建 OU 结构时稍作规划,便能取得很高的运作效率。 OU 是逻辑构造,因此可以对它们建模以适合许多不同的要求和目的。 OU 结构是检查当前如何使用组策略以及如何布局 OU 的理想场所。 本解决方案的第 4 章和第 5 章将讨论 OU 的体系结构并提供有关如何使用此体系结构来应用 IPsec 策略的详细说明。 |
| • | 现有 IPsec 策略使用 。 因为 IPsec 策略的实施是本项目最重要的任务,所以了解您的网络当前如何使用 IPsec(如果使用了)非常重要。 无论是使用简单的 IPsec 筛选器(如强化指南中规定的筛选器),还是实施完整的策略,了解当前的用法和要求都可确保与此解决方案更顺利地集成。 |
Woodgrove Bank 方案使用一个林 (corp.woodgrovebank.com),该林包含跨越五个站点的四个域。 每个站点都可能包含域控制器 (DC)、主域控制器 (PDC) 或全局目录 (GC) 服务器,如下表所示:
表 3.1:Woodgrove Bank Active Directory 信息| 站点地理位置 | 域 | 用户数 | 域控制器类型 |
| 纽约州纽约市 | corp.woodgrovebank.com americas.corp.woodgrovebank.com | 5,000 | 林根全局目录 PDC 美国地区区域 GC 欧洲区域 DC 亚洲区域 DC |
| 伊利诺斯州芝加哥 | americas.corp.woodgrovebank.com | 750 | 美国地区区域 GC |
| 乔治亚州亚特兰大 | americas.corp.woodgrovebank.com | 1,450 | 美国地区区域 GC |
| 麻萨诸塞州波士顿 | americas.corp.woodgrovebank.com | 480 | 美国地区区域 GC |
| 加利福尼亚州旧金山 | americas.corp.woodgrovebank.com | 250 | 美国地区区域 GC |
| 宾夕法尼亚州匹兹堡 | americas.corp.woodgrovebank.com | 50 | 美国地区区域 GC |
| 亚利桑那州菲尼克斯 | americas.corp.woodgrovebank.com | 50 | 美国地区区域 GC |
| 佛罗里达州迈阿密 | americas.corp.woodgrovebank.com | 50 | 美国地区区域 GC |
| 华盛顿特区 | americas.corp.woodgrovebank.com | 75 | 美国地区区域 GC |
| 麻萨诸塞州剑桥镇 | americas.corp.woodgrovebank.com | 36 | 美国地区区域 GC |
| 加拿大多伦多 | americas.corp.woodgrovebank.com | 25 | 美国地区区域 GC |
| 英国伦敦 | europe.corp.woodgrovebank.com corp.woodgrovebank.com | 5,200 | 林根 GC PDC 仿真器 欧洲区域 GC 美国地区区域 DC 亚洲区域 DC |
| 瑞士日内瓦 | europe.corp.woodgrovebank.com | 350 | 欧洲区域 GC |
| 荷兰阿姆斯特丹 | europe.corp.woodgrovebank.com | 295 | 欧洲区域 GC |
| 德国慕尼黑 | europe.corp.woodgrovebank.com | 149 | 欧洲区域 GC |
| 意大利罗马 | europe.corp.woodgrovebank.com | 80 | 欧洲区域 GC |
| 爱尔兰都柏林 | europe.corp.woodgrovebank.com | 79 | 欧洲区域 GC |
| 苏格兰爱丁堡 | europe.corp.woodgrovebank.com | 40 | 欧洲区域 GC |
| 南非约翰内斯堡 | europe.corp.woodgrovebank.com | 37 | 欧洲区域 GC |
| 日本东京 | asia.corp.woodgrovebank.com corp.woodgrovebank.com | 500 | 林根 GC PDC 仿真器 亚洲区域 GC 欧洲区域 DC 美国地区区域 DC |
| 中国香港 | asia.corp.woodgrovebank.com | 100 | 亚洲区域 GC |
| 泰国曼谷 | asia.corp.woodgrovebank.com | 150 | 亚洲区域 GC |
| 新加坡 | asia.corp.woodgrovebank.com | 210 | 亚洲区域 GC |
| 澳大利亚悉尼 | asia.corp.woodgrovebank.com | 45 | 亚洲区域 GC |
| 印度班加罗尔 | asia.corp.woodgrovebank.com | 35 | 亚洲区域 GC |
| 台湾台北 | asia.corp.woodgrovebank.com | 65 | 亚洲区域 GC |
Woodgrove Bank 的 Active Directory 设计使用了林自动创建的双向信任关系。 没有其他跨林信任或外部信任。
下图显示了 Woodgrove Bank 使用的高层 OU 结构的示例。 美国地区、欧洲和亚洲三个主要区域的域都一致地使用了此结构。
查看大图
因为服务器和域隔离项目是 Woodgrove Bank 的第一次 IPsec 实施,因此没有现有活动 IPsec 策略。
主机发现
进行资产发现项目的最大好处是能获得有关网络上的主机(工作站和服务器)的大量数据。 在第 4 章“设计和规划隔离组”中,决策的制定需要有关所有主机状态的准确信息,以确保这些主机能够参与该设计的 IPsec 通信。
主机数据要求
本节描述所需的主机信息,并讨论如何以物理形式和逻辑形式表示这些信息。
| • | 计算机名称 。 此名称是计算机的 NetBIOS 或 DNS 名称,用于在网络上标识计算机。 因为计算机可以有多个媒体访问控制 (MAC) 和/或 IP 地址,计算机的名称是可用来确定它在网络上的唯一性的标准之一。 在某些情况下,计算机名称可以重复。因此,这种唯一性不是绝对的。 |
| • | 每个网络接口卡 (NIC) 的 IP 地址 。 IP 地址是与子网掩码一起用来标识网络上的主机的地址。 应注意,因为 IP 地址经常更改,所以不是标识资产的有效方式。 |
| • | 每个 NIC 的 MAC 地址 。 MAC 地址是用来标识网络接口的唯一的 48 位地址。 可用它来帮助区分同一设备上的不同网络接口。 |
| • | 操作系统、Service Pack 和修补程序版本 。 操作系统版本是决定主机能否使用 IPsec 通信的关键因素。 跟踪可能安装的 Service Pack 和修补程序的当前状态也很重要,因为经常会使用这些 Service Pack 和修补程序来确定是否已达到最低安全标准。 |
| • | 域成员身份 。 此信息用来确定计算机能否从 Active Directory 获得 IPsec 策略,或是否需要使用本地 IPsec 策略。 |
| • | 地理位置 。 此信息仅为组织中设备的位置。 可用来确定某个设备是否应根据其位置或与之通信频繁的设备的位置加入特定隔离组。 |
| • | 硬件类型/角色 。 不太可能从自动化过程收集此信息。 一些执行主机发现的工具可提供此信息,它们通过查询硬件信息并运行应用程序来确定其类型,如服务器、工作站或 tablet PC。 可使用此信息来确定特定计算机是否可以参与隔离以及将计算机放入哪一隔离组。 注: 硬件类型信息通过数据插值法获得,或通过执行查询的软件产品提供此信息。 例如,HP Evo n800 是大家熟知的移动计算机,如果可以查询硬件级别(或具有标识硬件级别的资产标签),那么就能更迅速地确定指派给设备的适当 IPsec 策略。 |
收集所有这些信息并合并到数据库中后,要定期执行常规性发现工作,以保持信息最新。 要创建符合组织需要的设计,您将需要有关网络上的被管理的主机的最完整且最新的信息。
您可以使用各种方法从网络上的主机收集数据。 这些方法既包括高端、完全自动化的系统,也包括完全手动的数据收集。 一般地,从速度和准确性方面考虑,使用自动化方法来收集数据要优于手动方法。 但是,无论使用哪种方法,需要的信息是相同的;只是获得信息所花的时间不同。 手动过程遇到的常见问题包括:信息重复、需要确保信息收集范围的准确性(例如,是扫描了所有网络来捕获主机信息,还是仅扫描了客户端子网)、以及需要及时地获得信息以使它对项目有用。 有关完整 IT 系统审核的所有因素的讨论不属于本项目的范畴。 但是,了解这一点很重要:不仅本解决方案需要,组织还有其他许多方面也需要使用此审核信息。 资产跟踪和安全风险管理就是要求最新而准确的系统清单的两个重要过程示例。
自动发现
使用自动审核网络管理系统(如 SMS)可提供有关 IT 基础结构当前状态的许多宝贵信息。 但是,自动化的系统有一个问题:脱机、未连接或物理上(或逻辑上)无法响应信息查询的主机不会显示在最后的数据库中。 即使最自动化的系统也要求存在手动管理因素,以确保正确访问和记录主机。
许多供应商提供了各种产品和工具。 有的方法使用集中式扫描机制,有的使用安装在客户端计算机上的代理。 比较或推荐要购买的产品不属于本指南的范畴,但是,本解决方案要求具备本章重点讲述的发现数据,以供第 4 章和第 5 章中所作的设计考虑使用。
在关 SMS 2003 如何帮助执行资产管理(或帮助收集此项目所需的信息)的详细信息,请参阅“SMS 2003 资产管理”页面上的演示和资产管理数据表,网址为 www.microsoft.com/smserver/evaluation/capabilities/
asset.asp。
手动发现
手动发现方法和自动方法之间的最大差别是时间。 手动收集此项目所需的信息可能需要花几十个人几天甚至几周的时间,而大企业可能需要更长时间。 如果打算使用手动方法审核基础结构的当前状态,则必须以电子格式提供所获取的信息(如电子表格或数据库),这一点很重要。 如果不能快速而准确地生成返回所需信息的特定查询,所生成的庞大数据可能会使筛选和分析过程非常困难。 此外,您可以使用本地 IT 管理员来获取信息或验证任何先前收集的信息。
即使您的组织没有自动审核工具,通过使用 Windows 平台提供的标准远程管理和脚本界面,仍然可以在一定程度上进行自动收集。 使用这些工具的主要问题是,要确保客户端不会因为与管理工具或脚本不兼容而被遗漏。
您可以使用 Windows Scripting Host (WSH)、Microsoft Visual Basic® Scripting Edition (VBScript) 和 Windows Management Instrumentation (WMI) 来创建可收集系统配置信息的脚本文件。 下表按平台分别显示了 VBScript 和 WMI 的可用性。
表3.2:按平台列出的 VBScript 和 WMI 的可用性| 平台 | VBScript | Wmi |
| Windows 95 | 安装 WSH 5.6 | 安装 WMI CORE 1.5 |
| Windows 98 | 内置 | 安装 WMI CORE 1.5 |
| Windows Millennium | 内置 | 内置 |
| Microsoft Windows NT® 版本 4.0 | 安装 WSH 5.6 | 安装 WMI CORE 1.5 |
| Windows 2000 | 内置 | 内置 |
| Windows XP | 内置 | 内置 |
| Windows Server 2003 | 内置 | 内置 |
您可以从“Microsoft Windows Script Downloads”页面下载 Microsoft Windows Script 5.6 更新,网址为 http://msdn.microsoft.com/library/default.asp?url=/
downloads/list/webdev.asp。
可从 Microsoft 下载中心下载“Windows Management Instrumentation (WMI) CORE 1.5 ”安装文件,网址为 www.microsoft.com/downloads/details.aspx?FamilyID=afe41f46-e213-4cbf-9c5b-fbf236e0e875&DisplayLang=en。
本解决方案中的“工具和模板”文件夹中提供了一个名为
Discovery.vbs的 VBScript 示例。 此脚本使用 WMI 检索本章的“主机数据要求”一节中列出的所有信息,但角色和地理位置除外。 收集的信息保存在本地计算机的文本文件
C:/Discovery/< systemname >_info.txt中。 您可以修改脚本以收集其他信息或将收集的信息放在远程文件共享位置。
如果主机上没有 WMI 或 VBScript 可用,可以使用批处理脚本和外部工具来收集信息。 困难在于批处理语言在功能上非常有限,无法方便地从较早 Windows 版本的命令行获得配置信息。
要执行主机发现,必须查询主机并提供存储查询结果的位置。
无论是使用自动、手动方法还是混合两种方法来收集信息,都有一些大问题可能会给设计带来麻烦,其中之一就是捕获从原始清单扫描至实施准备就绪这段时间内的更改。 第一次扫描完成后,应让支持人员清楚,以后的所有变更和更新都要记录在清单中。
此清单对于规划和实施 IPsec 策略至关重要,这一点将在后面的章节中讨论。
返回页首
容量事项
信息收集完成后,IPsec 的影响(包括一些容量规划)将是下一个重点。 本节描述在您的环境中正确规划 IPsec 的一些基本事项。
IPsec 的影响
由于 IPsec 使用各种加密技术,会消耗计算机上的大量开销。 对于需要加密的方案,将需要进行更仔细的分析。 例如,某种方案可能使用三重数据加密标准 (3DES) 和安全哈希算法 (SHA-1) 来检查要求最强可用加密和密钥交换保护 情况下的完整性。 而另一种方案涉及安全关联 (SA) 协商。 您可以对主模式 SA 使用较短的生存期(例如,三小时),但是由于许多安全方面的原因,不可避免要作一些让步。 每个主模式 SA 大约占用 5 KB RAM。 在服务器要代理数以万计的并发连接的情况下,可能会导致过度使用。 其他因素包括网络基础结构服务器上的 CPU 使用率、运行 IPsec 的服务器和工作站开销的增加(特别是服务器,因为大多数情况下它们包含的主模式 SA 要比客户端多)以及因 IPsec 协商而导致网络滞后时间的加长。
注:在 Microsoft 本身对此解决方案的部署中,因使用 IPsec 而直接导致网络使用率增加 1% 至 3% 是正常现象。
另一个需要考虑的主要问题是使用 NAT 设备连接的网络。 问题在于 NAT 不允许主机之间进行验证头 (AH) 会话,原因是 NAT 正好违反了 AH 旨在提供的原则:对未更改的数据包(包括标头)进行身份验证。 如果内部网络中存在 NAT 设备,则需要选择 ESP 代替 AH。 ESP 提供数据加密功能,但不要求加密。 这一点从容量角度来说很重要,因为加密会产生消耗,在项目的规划和设计阶段就必须将这些消耗考虑在内。 ESP 还可以在空加密的情况下实施,这样可以在提供最可能强的 IPsec 点对点通信的同时不中断与 NAT 的通信。 因为不使用加密,所以比加密的 ESP 的影响小。
策略的影响
IPsec 策略和组策略都会影响计算机的启动时间以及用户登录的时间。 在信息收集阶段,记下实施解决方案之前计算机启动的时间和用户登录时间会很有用。 在此阶段记录这些时间将为试行期间比较测试系统提供基准,以确定对用户登录所需的总时间的影响。
返回页首
部署前的考虑事项
上述各节描述了为使隔离成功而应从网络、Active Directory 和主机收集的信息。 本节将列出应在部署 IPsec 前仔细检查的相关事项。
网络基础结构
信息收集使您能够规划在网络中实施 IPsec 隔离。 收集这些信息后,对数据进行仔细分析,可发现将在测试和部署期间面临的大多数问题。 虽然下面列出的各项并不完整,但在测试和部署之前开始分析收集到的信息时,考虑这些事项是很重要的。
过度使用的设备
您可能需要升级或重新配置当前使用率超过 75% 的交换机或路由器,以增加设备上的通信流,同时在通信流剧增时提供额外的使用率。 为实施 IPsec 进行适当的容量规划更侧重于测试和预计的通信流负载,而非准确的计算。 因为对于任意两个客户,其方案、通信流模式、用户集中度和应用程序都极不可能完全相同,所以必须适当地规划和考虑网络设备会受到什么影响。 例如,IPsec 的某些方面是完全可以预测的。 每个使用 IPsec 的 ESP 数据包刚好比不使用 IPsec 的同一数据包大 36 字节。 因为建立一个主模式 SA 需要六条消息,这样便很容易估算特定设备上的使用率可能受到的影响。 您可以使用工具(如 Quallaby 网站 www.quallaby.com 上的 PROVISO 应用程序)或其他网络分析器解决方案来帮助在您的 IT 环境中规划 IPsec。
不兼容的设备
与 IPsec 不兼容的设备不能参与 IPsec 通信。 如果这种设备需要与被管理的设备通信,必须将这些设备加入 IPsec 免除列表。 有一种替代方法是升级设备硬件或软件以支持 IPsec。 还有一种方法是,当未受管理的设备回退到使用明文方式进行出站通信时,允许它们与边界计算机通信。
设备配置不正确
设备配置不正确会增加通信失败的可能性,并增加设备上的负载,甚至导致设备损坏。 以下有关设备的配置、管理和安全性方面的最佳做法将有助于减轻这些问题。
IP 寻址
由于 IP 地址是 IPsec 解决方案的基本构造块,因此寻址方法越“简洁”越好。 地址空间重叠、地址重复、子网掩码错误以及其他问题都可能使正常的网络操作变复杂。 在这种网络上使用 IPsec 只会增加解决问题的复杂程度,并使人们怀疑 IPsec 是问题的根源。 组织的增长、兼并与收购以及其他因素可能会迅速导致网络上的 IP 寻址信息过时和不准确。 要消除 IPsec 的最大问题,请确保将网络划分为不重叠的子网,清晰地整理了路由表,且地址聚合易于确定。
Active Directory 信息
如果当前的 Active Directory 实施工作正常(即名称解析、动态主机配置协议 [DHCP]、组策略的应用、信任关系等),则没有任何问题会影响 IPsec。 应仔细检查从检查 Active Directory 到开始隔离项目这段时间内所作的任何更改,以确保不会遇到任何兼容性问题。
主机信息
上一节已帮助您收集了有关网络上的主机的足够信息。 确定哪些客户端和服务器能够使用 IPsec 后,应注意需要如何隔离它们以及哪些应用程序需要仔细检查,以了解隔离解决方案可能会对这些应用程序产生的影响。
确定客户端/服务器参与
收集了主机的信息后,确定哪些主机可以集成到隔离方案中就相对简单了。 例如,只有基于 Windows 2000、Windows Server 2003 和 Windows XP 的计算机才能使用 IPsec 通信。 但是,也许并不是所有可以参与的客户端都要这样做。 设计过程一个重要部分是根据本章收集的信息确定哪些计算机和设备将包括在解决方案中以及属于哪一组。
确定需要隔离的服务
对服务器和域隔离项目而言,服务就是在网络上向客户端提供服务的应用程序,如 Microsoft Exchange Server、Microsoft SQL Server™ 或 Internet 信息服务 (IIS)。 您应该逐项评估这些服务,以确定它们是否适合服务器和域隔离。 要将这些服务包括在解决方案中的原因有很多,如组织策略、政府法规或其他业务要求。 例如,可能有的组织策略规定邮件服务器之间的所有通信都必须使用 IPsec 进行安全保护,但客户端与服务器之间的通信并不需要以这种方式进行安全保护。 第 4 章“设计和规划隔离组”将详细讨论隔离过程。 当尝试隔离服务时,应慎重考虑那些运行多项服务的服务器,例如,提供 Web 服务和文件传输协议 (FTP) 的服务器同时也是邮件服务器。
网络负载平衡和群集
使用服务器和域隔离的组织可以选择免除那些使用网络负载平衡 (NLB) 和群集的计算机。 IPsec 与“无相似性”模式下的 NLB 不兼容,原因是 IPsec 会阻止不同的计算机使用同一客户端连接。 由于这种不兼容性,所以不要尝试同时使用“无关联”模式下的 NLB 和 IPsec。
例外管理
例外管理是 IPsec 规划的重要部分。 确定在什么情况下使用允许不受信任主机访问的计算机,以及控制被管理和未受管理的计算机之间的访问,是隔离的关键任务。 最佳做法是将例外次数尽可能保持最低。 技术需要可能规定对某些计算机或服务免除 IPsec 处理,如域控制器和 DHCP、DNS 及 WINS 服务器。 由于这些计算机仍然被管理,潜在的风险要比允许未受管理的计算机与被管理的、受信任计算机进行通信的风险小一些。
不基于 Windows 的设备
大多数企业网络都不是同源的。 在规划 IPsec 部署时,必须考虑因素的多样性,如操作系统、网络基础结构以及硬件平台。 如果您的组织具有不基于 Windows 的计算机,那么应当了解,目前还不可能在 Windows 以外的领域使用 IPsec 策略。 有的组织可能会决定通过将一些平台当作受信任的平台来解除此限制,但是因为这些平台不能使用 IPsec 策略,所以服务器和域隔离解决方案不会保护它们。 下一节将介绍如何确定信任。
管理和监视设备
在初始规划阶段,IPsec 有一个方面经常被忽略,就是它对网络通信流管理和监视的影响。 因为 IPsec 要求身份验证并允许加密,有些设备就无法继续监视和管理支持 IPsec 的计算机。 如果要求加密,表明组织的安全性比监视网络上传输的数据的操作需求更重要。 在其他情况下,将有必要评估可对应用程序或设备进行哪些更改,以便启用 IPsec 监视(例如可以查看 SSP 通信流的 ESP 分析器)。 如果不可能升级监视或管理设备以支持 IPsec,则应记录此信息,这非常重要。 解决方案架构师或体系结构设计小组将在第 4 章“设计和规划隔离组”中需要使用这些信息。
返回页首
信任确定
获得有关主机设备(IT 基础结构的当前组成部分)的信息后,必须作一个基本判断,此判断将直接影响主机参与解决方案的能力。 此判断就是确定达到什么条件的主机可被视为受信任主机。 对于“受信任”一词,不同的人可能有不同的理解,因此要向项目的所有负责人传达该词的明确定义,这非常重要。 如果未做到,可能会导致受信任环境的安全出现问题,因为整体安全性无法超过允许达到受信任状态的最不安全客户端设置的安全级别。
为了解此概念,可以考虑适合典型的 IT 基础结构中的主机的四种基本状态。 这些状态包括(按风险从小到大的顺序):
| 1. | 受信任 |
| 2. | 可信 |
| 3. | 已知,不受信任 |
| 4. | 未知,不受信任 |
本节的其余部分将定义这些状态,并说明如何确定组织中的哪些主机属于哪种状态。
受信任状态
将某个主机归类为受信任主机并不意味着该主机绝对安全或无懈可击。 基本上,受信任意味着主机的风险受到管理。 这种受管状态由负责配置主机的 IT 管理员和用户负责。 如果受信任主机管理不当,很可能成为整个解决方案的弱点。
当主机被视为受信任主机时,其他受信任主机应该可以合理地假定该主机不会发起恶意操作。 例如,受信任主机应期望其他受信任主机不会执行攻击它们的病毒,因为所有受信任主机都要求使用一些用来缓解病毒威胁的机制(如防病毒软件)。
受信任主机之间的通信不应受到网络基础结构的阻碍。 例如,由于受信任主机可以假定其他受信任主机没有恶意内容,因此,通常不要求阻止 IP 级数据包以限制其他受信任主机的访问。 您应当使用计算机本身基于主机的防火墙、通过端口或协议来实施控制主机通信所需的任何限制,而不是使用 IPsec 实施这些限制。
在 Woodgrove Bank 方案中,安全小组定义了以下五个主要目标,用来规划主机达到受信任状态所需的技术:
| • | 计算机或用户的身份未被盗用。 | ||||||
| • | 所需的资源不论驻留在受管环境中的什么位置,都安全而且可用。
| ||||||
| • | 数据和通信是专用的,这意味着只能由期望的接收人阅读和使用信息。 | ||||||
| • | 设备所有者/操作员了解并将遵守策略,确保环境保持可信度。 | ||||||
| • | 对风险和威胁能及时响应。 |
Woodgrove Bank 的支持小组使用这些目标来定义一系列技术要求,以确定主机可被视为受信任主机。
在定义受信任状态时,要确保资产所有者能够使用其他安全要求,以满足特定资产的业务需要。 例如,人力资源部可能对特定服务器要求额外的生物鉴定登录机制。 在本解决方案中,此要求不会对服务器达到受信任状态的能力产生任何负担。 但是,应注意确保特定资产的要求不会与达到受信任状态的要求相冲突。
花一些时间来确定目标和技术要求,这是您的组织认为适合主机获得受信任状态的最低配置。
例如,在 Woodgrove Bank 方案中,设计小组使用了下列技术要求:
| • | 操作系统 。 受信任主机应运行 Windows XP SP2 或 Windows Server 2003 或至少运行 Windows 2000 SP4。 |
| • | 域成员身份 。 受信任主机属于受管理的域,这意味着 IT 部门需要安全管理权限。 |
| • | 管理客户端 。 所有受信任主机都必须运行特定的网络管理客户端,以便对安全策略、配置和软件进行集中式管理和控制。 |
| • | 防病毒软件 。 所有受信任的客户端都运行防病毒软件,该软件配置为每天进行病毒检查并自动更新最新的病毒签名文件。 |
| • | 文件系统 。 所有受信任主机都配置为 NTFS 文件系统。 |
| • | BIOS 设置 。 所有受信任的移动计算机都配置 BIOS 级别的密码,由 IT 支持小组管理。 |
| • | 密码要求 。 受信任客户端必须使用强密码。 |
受信任状态不是不变的,了解这一点很重要;它是一个过渡状态,随安全标准更改而更改,并且要符合那些标准。 新的威胁和新的防御措施不断出现。 因此,组织的管理系统必须经常检查受信任主机,以保持与标准相符。 此外,在需要时,这些系统必须能够发布更新或配置更改,以帮助维持受信任状态。
持续符合所有这些安全要求的主机可被视为受信任主机。 但是,本章前面所讨论的发现过程中标识的大多数主机目前很可能都不符合这些要求。 因此,确定哪些主机可成为受信任主机以及哪些不能(从而必须视为不受信任主机)很重要。 为进行此过程,可以定义一个中间的可信状态。 本节剩余部分将讨论不同的状态和它们的含义。
可信状态
如有必要,应尽快标识当前基础结构中能够达到受信任状态的主机,这会很有用。 可将主机指定为可信状态,表示当前主机经过必要的软件和配置更改后,确实能够达到受信任状态。
对于每台指定为可信状态的计算机,应相应地记录要使主机达到受信任状态所需的配置。 这些信息对于项目设计小组(用来估计将主机添加到解决方案的成本)和支持人员(使他们能够应用所需的配置)都尤其重要。 通常,可信主机分为以下两组:
| • | 所需的配置 。 当前的硬件、操作系统和软件使主机能够达到可信状态。 但是,还需要作一些配置更改才能达到必备的安全级别。 例如,如果组织要求主机具有安全的文件系统才能被视为受信任的主机,那么硬盘格式为 FAT32 的主机就无法满足此要求。 | ||||||||
| • | 所需的升级 。 这组计算机必须经过系统升级后才能成为受信任主机。 下面列出了这组计算机可能需要的一些升级类型:
|
可使用这些组来分配在需要升级的计算机上实施解决方案的成本。
已知,不受信任状态
在对组织的主机分类的过程中,由于某些已充分了解且明确定义的原因,将确定一些不能达到受信任状态的主机。 这些原因可能包含下列类型:
| • | 财务 。 没有为此主机升级硬件或软件的资金可用。 |
| • | 政治 。 因政治或商业形势使主机不能符合组织既定的最低安全要求,主机不得不保持不受信任状态。 强烈建议您与公司所有者或主机独立软件供应商 (ISV) 联系,讨论服务器和域隔离可带来的增值。 |
| • | 功能 。 主机需要运行不安全的操作系统或需要以不安全的方式运行才能执行其任务。 例如,由于某一特定业务的应用程序只能在较旧的操作系统上运行,而可能要求主机运行该操作系统。 |
主机保持已知不受信任状态的功能性的原因有很多。 下面列出了可能导致将主机归类为此状态的一些功能性原因:
| • | 运行 Windows 9 x 或 Windows Millennium Edition 的计算机。 运行这些 Windows 操作系统特定版本的计算机不能归类为可信主机,原因是这些操作系统不支持基本的安全基础结构。 实际上,这些操作系统在设计上就没有安全基础结构。 此外,这些操作系统对于特定于用户的计算机配置只有基本的集中管理功能(通过系统策略和用户登录脚本)。 最后,这些操作系统未提供所需的安全管理功能中的任何一项。 |
| • | 运行 Windows NT 的计算机 。 在服务器和域隔离中,运行 Windows NT 的计算机不能归类为可信主机,原因是此操作系统不完全支持基本的安全基础结构。 例如,Windows NT 不支持本地资源上的“拒绝”ACL、确保网络通信机密性和完整性的任何方式、用于强身份验证的智能卡或计算机配置的集中管理(尽管支持对用户配置的有限的集中管理)。 Windows NT 也不提供任何方式来保护数据的机密性并确保其完整性(如 Windows 2000 加密文件系统)。 此外,Windows NT 不支持必需的所有安全功能。 例如,它不支持组策略或 IPsec 策略,也不提供某种机制来确保在需要时可以获得本地管理员级别的访问权限。 同时,它不会定期重新应用安全配置以确保保持有效状态。 注: 有关 Windows NT 不可信的讨论严格限于与服务器和域隔离的实施相关的领域,并不反映它作为操作系统的使用。 对于本项目中的服务器,升级至 Windows Server 2003 平台就可以提供最安全且易于管理的解决方案。 |
| • | 独立计算机 。 配置为独立计算机或工作组成员的运行任何 Windows 版本的计算机通常都无法达到可信状态。 虽然这些操作系统可能完全支持必需的最低基本安全基础结构,但是,如果计算机不是受信任域的一部分,很可能无法具备所需的安全管理功能。 |
| • | 不受信任域中的计算机 。 不受组织 IT 部门信任的域的成员计算机不能归类为受信任主机。 不受信任的域不能向其成员提供所需的安全功能。 虽然此不受信任域的成员计算机的操作系统可能完全支持必需的最低基本安全基础结构,但是如果计算机不是在受信任的域中,所需的安全管理功能就得不到完全保证。 例如,在不受信任域中,没有机制可用来确保受信任用户在需要时可获得本地管理员级别的访问权限。 而且,安全配置(即使是可以集中管理的配置)很容易被不受信任域的管理员改写。 此外,对安全配置、软件、策略和标准的遵循得不到保证,也没有措施来有效地进行监视。 |
| • | Windows NT 域中的计算机 。 基于 Windows NT 的域的成员计算机不能归类为受信任主机。 虽然它们的操作系统可能完全支持必需的最低基本安全基础结构,但是,如果计算机在 Windows NT 域中,就不完全支持所需的安全管理功能。 不过,如果因为该主机为组织提供必需的角色而必须将它纳入设计当中,则应将它的状态指定为“已知,不受信任”。 这表示已识别某种该解决方案无法缓解的风险。 您必须使用其他技术来缓解这一已知威胁。 由于这类主机的性质各异,所以无法提供有关这些技术的具体指导。 但是,这些风险缓解技术的目的应当是尽可能降低这种主机带来的风险。 |
未知,不受信任状态
应将“未知,不受信任”状态视为所有主机的默认状态。 因为这种状态的主机的配置未知,所以不能信任它们。 对这种状态的主机的所有规划都假定该主机的安全已受到威胁或存在受到威胁的可能性,因而对组织来说是不可接受的风险。 解决方案的设计者应努力降低这种状态的计算机可能对组织产生的影响。
返回页首
预计当前主机的升级成本
本章的最后步骤是记录计算机升级到能够参与解决方案的程度所需的大致成本。 在本项目的设计阶段,您必须作几个关键决策,作这些决策要求回答下列问题:
| • | 计算机是否满足隔离必需的最低硬件要求? |
| • | 计算机是否满足隔离必需的最低软件要求? |
| • | 若要将此计算机集成到隔离解决方案中,需要作哪些配置更改? |
| • | 为使计算机达到受信任状态而进行提议的更改会有哪些预计成本和影响? |
回答这些问题后,您就能够迅速确定将特定主机或主机组加入项目范围的所需的工作和大致成本。 收集所有这些数据很可能不是一个人 — 甚至同一角色中的几个人 — 能够完成的。 有些数据可能由咨询台人员收集,而有些则可能需要架构师或公司所有者级别的人员提供。 计算机的状态是过渡性的,通过列出的补救措施,可以将计算机的状态从不受信任更改为受信任,记住这一点很重要。 决定是否将计算机指定为受信任状态后,就可以开始规划和设计隔离组了。本指南的第 4 章“设计和规划隔离组”将对此进行讨论。
下表是一个数据表的示例,您可以用来帮助了解主机的当前状态以及主机要达到受信任状态所需的更改。
表 3.3:主机收集数据示例| 主机名称 | 满足硬件要求 | 满足软件要求 | 配置。 必需 | 详细资料 | 预计成本 |
| HOST-NYC-001 | 否 | 否 | 升级硬件和软件。 | 当前操作系统为 Windows NT 4.0。 旧硬件与 Windows XP SP2 不兼容。 | $XXX。 |
| SERVER-LON-001 | 是 | 否 | 加入受信任的域,从 Windows NT 4.0 升级到 Windows 2000 SP4 或更高版本。 | 没有防病毒软件。 | $XXX。 |
下面对表 3.3 的各栏进行了解释:
主机名称。 网络上的主机设备的名称。
| • | 满足硬件要求 。 反映计算机是否满足参与解决方案的最低硬件要求。 |
| • | 满足软件要求 。 反映计算机是否满足参与解决方案的最低软件要求。 在 Woodgrove Bank 中,最低要求是 Windows 2000 SP4、Windows XP SP2 或 Windows Server 2003,以及每个操作系统都安装所有重要的安全修补程序。 此外,计算机还必须属于受信任域(即由 Woodgrove Bank IT 人员集中管理的域),并且必须专门提供对计算机具有访问权限的 IT 管理员。 |
| • | 所需的配置 。 表示为使计算机达到受信任状态必须采取的措施。 |
| • | 详细资料 。 说明计算机当前不处于受信任状态的原因。 |
| • | 预计成本 。 表示为使设备达到受信任状态所需的预计成本。 此成本应包括软件、硬件、生产力损失和支持的估计成本。 这些信息将有助于从公司角度确定将特定计算机作为受信任计算机加入解决方案是否可行或值得。 |
在上面的表中,主机 HOST-NYC-001 的状态当前是“已知,不受信任”。但是,如果可进行所需的升级,可以将它视为可信主机。 不过,如果大量计算机需要同样的升级,该解决方案的成本将高很多。
主机 SERVER-LON-001 满足硬件要求,但需要升级到能够使用 IPsec 策略且加入域的操作系统。 该主机还需要防病毒软件。 预计成本是升级操作系统和安装防病毒软件所需的工作加上操作系统和防病毒软件许可证的成本。
获得表 3.3 中列出的信息后,将这些信息与本章中收集的其他信息一起保存,以供架构师或体系结构设计小组使用。 第 4 章重点介绍如何设计隔离组,而这些信息将是这一章要做的工作的基础。
应当注意,本节中确定的成本只是主机升级的预计成本。 与此项目相关的还有许多额外的设计、支持、测试和培训成本。 如果需要确立准确的项目成本,将需要把这些额外成本计入整体项目。
返回页首
总结
本章概述了执行服务器和域隔离项目所需的信息,也包括影响方面的注意事项。 您可以使用本章中的指导执行下列任务:
| • | 标识网络上的资产 |
| • | 收集网络信息 |
| • | 收集主机信息 |
| • | 确定当前通信流信息 |
| • | 检查当前的 Active Directory 体系结构并从中获取相关信息 |
| • | 检查 IPsec 容量事项 |
| • | 查看 IPsec 的预部署事项 |
| • | 说明什么是可信设备和不可信设备,以及它们在 Woodgrove Bank 方案中如何归类 |
完成这些任务将可以收集到在下一章中开始隔离组设计需要的信息。
更多信息
本节提供指向其他各方面信息的链接,这些信息在实施本解决方案过程中可能会有所帮助:
| • | 有关为 Windows Server 2003 配置防火墙以支持 IPsec 的详细信息,请参阅 Windows Server 2003 文档的“Configuring Firewalls”页面,网址为 www.microsoft.com/resources/documentation/ WindowsServ/2003/all/deployguide/en-us/ dnsbj_ips_schx.asp。 | ||
| • | 可从 Microsoft 下载中心下载“Windows Management Instrumentation (WMI) CORE 1.5 (Windows 95/98/NT 4.0)”安装包,网址为 www.microsoft.com/downloads/details.aspx? FamilyID=afe41f46-e213-4cbf-9c5b-fbf236e0e875&DisplaylistBullet">• | 有关 WMI 的详细信息,请参阅 MSDN® 上的“Windows Management Instrumentation ”文档,网址为 http://msdn.microsoft.com/library/en-us/wmisdk/ wmi/wmi_start_page.asp。 | |
| • | 可从 Microsoft 下载中心下载“用于 Windows 2000 和 XP 的 Windows Script 5.6”,网址为 www.microsoft.com/downloads/details.aspx? FamilyId=C717D943-7E4B-4622-86EB-95A22B832CAA&displaylistBullet">• | 可从 Microsoft 下载中心下载“用于 Windows 98、Windows Millennium Edition 和 Windows NT 4.0 的 Windows Script 5.6”,网址为 www.microsoft.com/downloads/details.aspx? FamilyId=0A8A18F6-249C-4A72-BFCF-FC6AF26DC390&displaylistBullet">• | 可从 Microsoft 下载中心下载“Windows Script 5.6 Documentation”,网址为 www.microsoft.com/downloads/details.aspx? FamilyId=01592C48-207D-4BE1-8A76-1C4099D7BBB9&displaylang=en。 |