PKI-аутентификация в SharePoint с помощью смарт-карт

Надежным решением для сети PKI может быть введение аутентификации пользователей с помощью смарт-карт. Смарт-карты — это пластиковые карточки со встроенным в них микрочипом, который позволяет хранить на каждой карте уникальную информацию. На такой смарт-карте можно записать информацию для входа в систему и сертификаты, установленные с сервера СА. Когда пользователю нужно войти в систему, он вставляет смарт-карту в устройство чтения или просто проводит ей в щели устройства чтения. При этом считывается сертификат, и пользователю нужно лишь ввести PIN-код, уникальный для каждого пользователя. После проверки информации PIN-кода и сертификата пользователь может войти в домен и получить доступ к ресурсам наподобие SharePoint.

Смарт-карты имеют очевидные преимущества перед стандартными видами аутентификации. При работе с ними уже невозможно украсть или угадать чье-то пользовательское имя и пароль, т.к. пользовательское имя, открывающее доступ к SharePoint, может быть введено только с уникальной смарт-карты. При обнаружении кражи или утери смарт-кар-та тут же деактивируется, а сертификат отзывается. Даже если действующая смарт-карта попадет в чужие руки, еще нужен PIN-код, чтобы войти в систему. Подобная многоуровневая защита является одной из причин, по которой смарт-карты быстро становятся более приемлемым способом интегрирования в организациях защиты с помощью сертификатов и PKI.

Внутреннее шифрование SharePoint с помощью IPsec

Протокол IPsec, уже кратко упомянутый в предыдущих разделах, представляет собой механизм для создания сквозного шифрования всех пакетов данных между компьютерами. IPsec работает на уровне 3 модели OSI и использует зашифрованные пакеты для всего трафика между сторонами.

IPsec часто считается одним из лучших способов защиты трафика, сгенерированного в среде, и полезным для защиты всех серверов SharePoint в ситуациях доступа к интернету с высокой степенью риска и в конфигурациях частных сетей. Без технологии вроде IPsec можно перехватить обмен информацией между членами фермы, а затем без труда определить его содержимое.

Принцип работы IPsec

Основной принцип работы IPsec состоит в следующем. Весь трафик между клиентами — инициированный приложениями, операционной системой, службами и т.д. — полностью шифруется с помощью IPsec, который помещает во все пакеты свой заголовок и пересылает эти пакеты на сервер назначения для дешифровки. Шифрование всех фрагментов данных предотвращает электронное прослушивание сети для получения неавторизованного доступа к данным.

Имеется несколько функциональных развертываний IPsec, а некоторые наиболее пер спективные из них на самом деле даже встроены в сетевые карты (Network Interface Card — NIC), которые имеются на каждом компьютере и выполняют шифрование и дешифровку без всякого участия операционной системы. Кроме этих вариантов, в состав Windows Server по умолчанию входит надежная реализация IPsec. Ее можно настроить для использования сети сертификатов PKI или встроенной аутентификации Kerberos, которая выполняется с помощью Active Directory в системе Windows Server.

Основные функции IPsec

IPsec в Windows Server выполняет следующие функции, сочетание которых обеспечивает одно из наиболее защищенных решений для клиент-серверного шифрования:

• Секретность данных. Вся информация, посылаемая от одной машины SharePoint к другой, тщательно шифруется с помощью алгоритмов наподобие 3DES. которые предотвращают неавторизованный просмотр конфиденциальных данных.

• Целостность данных. Целостность пакетов IPsec обеспечивается с помощью заголовков ESP, которые проверяют, что информация в пакете IPsec не была подменена.

• Защиты от повторной передачи. IPsec предотвращает повторную посылку потоков перехваченных пакетов (так называемая атака повторной передачей), блокируя такие методы получения неавторизованного доступа к системе с помощью имитации верного ответа пользователя на запросы сервера.

• Аутентичность на уровне пакетов. IPsec использует сертификаты или аутентификацию Kerberos для гарантирования, что отправитель пакета IPsec действительно является авторизованным пользователем.

■ NAT Traversal. 1еперьреализация IPsec в Windows Server позволяетмаршрутизацию IPsec спомощьюсовременныхреализаций NAT (Network Address Translation —трансляциясетевыхадресов). Этаконцепцияболееподробнобудет рассмотрена в следующем разделе.

■Поддержка 2048-битовыхключейДиффи-Хеллмана. Вреализациях IPsec в Windows Server поддерживаютсяпрактическиневзламываемыеключисдлиной 2048 битов, чтогарантируетбезопасностьключа IPsec.