Службы сертификации и их применение

В концептуальном плане защиты корпоративной сети предприятия необходимо уделять внимание многим аспектам, в том числе защите логической и физической инфраструктуры сети в отдельности, и этим двум элементам в совокупности. Под логической инфраструктурой сети, как правило, понимают набор программных компонент, использующихся в сети и обеспечивающих ее функционирование. Основными элементами, требующими защиты в данном случае, является целостность данных и возможность контроля данных об отправителе в момент их приема. Решить обе эти задачи возможно с помощью механизма электронной цифровой подписи (ЭЦП). Определенные значения, используемые в этом механизме хэш-функции, говорят о том, изменялись ли данные с момента их создания и кем были проведены данные изменения.

В Windows Server 2003 реализовать механизм ЭЦП можно с помощью служб сертификации. Сертификаты являются одним из элементов системы Открытых ключей (PKI). Эта система позволяет контролировать не только целостность информации и аутентифицировать отправителя и получателя, но и обеспечивает конфиденциальность информации с помощью шифрования. Рекомендация по использованию PKI одна - ее нужно использовать при любой возможности (для опознавания пользователей, компьютеров, шифрования данных, при передаче их по VPN и пр.).

Может показаться, что PKI – панацея от несанкционированного доступа к данным. В действительности имеется ряд трудностей при внедрении этой системы на предприятии в эксплуатацию: сложная техническая настройка, дополнительное вложение на приобретение лицензии и необходимость постоянного аудита сбоев. В случае если для компании перечисленные аспекты не представляют трудностей, система Открытых ключей и цифровых сертификатов будет представлять собой мощнейшую систему защиты информации.

Система Открытых ключей состоит из центров сертификации (ЦС), выстроенных в иерархическую структуру; политики применения сертификатов ; собственно цифровых сертификатов.

Центр сертификации – это служба, отвечающая за выдачу сертификатов пользователям, компьютерам или организациям. Каждый сервер под управлением WS2003 может выполнять роль ЦС. С точки зрения серверной роли ЦС может быть корневым или подчиненным. Корневой ЦС сам себе выдает сертификат, а подчиненный получает его от другого ЦС (не обязательно от корневого). Центры сертификации могут интегрироваться в домен, а могут быть изолированными от домена. ЦС могут выстраиваться в многоуровневую иерархию, на вершине которой находится корневой ЦС, выдающий сертификаты центрам сертификации первого уровня. Центры сертификации первого уровня выдают сертификаты центрам сертификации второго уровня. Последние выдают сертификаты конечным пользователям, компьютерам и службам. Данная иерархия является трехуровневой. В этом случае ЦС второго уровня называются промежуточными, а ЦС третьего уровня – выдающими. В зависимости от типа компании и структуры ее сети в иерархии ЦС может отсутствовать второй уровень. Но в любом случае, иерархия ЦС не должна иметь меньше двух уровней, т.к. если корневой ЦС будет выдавать сертификаты конечным пользователям, это снизит общую безопасность сети.

В зависимости от физического расположения ЦС иерархия этой структуры может быть: географической (корневой ЦС в главном офисе, выдающие – в филиалах; при этом промежуточные сервера могут быть размещены по одному для нескольких филиалов), организационной (корневой ЦС – в отделе управления, выдающие ЦС – в обособленных структурных подразделениях), комбинированной (для организации с географически удаленными филиалами, имеющие обособленные структурные подразделения).

В любом случае, при проектировании иерархии ЦС необходимо руководствоваться следующими рекомендациями:

1. корневой ЦС не интегрировать в домен и не держать постоянно подключенным к сети;
2. по возможности ограничить доступ к корневому ЦС, лучше держать его в закрытом сейфе и подключать к сети только по необходимости;
3. по возможности разрешить выдающим ЦС выдачу сертификатов только отдельных типов (например, один сервер выдает сертификаты для смарт-карт, второй – для шифрования и т.д.).

Цифровой сертификат – это набор данных, позволяющий сопоставить открытый ключ с объектом, имеющим соответствующий закрытый ключ. В этом наборе содержатся следующие данные: имя владельца ; имя ЦС, выдавшего сертификат; подпись ЦС, выдавшего сертификат; задачи, для которых используется сертификат и копия открытого ключа. Сертификаты могут выдаваться для следующих целей: для идентификации контроллера домена, для проверки подлинности сервера, для подписи сертификата и списка отозванных сертификатов, для шифрования в IPSec и для EFS.

Вне зависимости от задачи, для которой выдан сертификат, механизм проверки подлинности основан на механизме построения цепочки сертификатов, который включает в себя следующие шаги:

1. ЦС подписывает все выданные им сертификаты своим закрытым ключом, а открытый ключ ЦС позволяет установить факт выдачи указанного сертификата данным ЦС (при наличии в иерархии только корневого ЦС все сертификаты указывают только на него; в двухуровневой иерархии открытый ключ выдающего ЦС используется для проверки подписи сертификата пользователя, а открытый ключ корневого ЦС – для проверки подписи сертификата выдающего ЦС; при трехуровневой иерархии в этой системе появляется еще одно дополнительное звено);
2. Построенная на первом шаге цепочка сертификатов будет действительной, если она оканчивается на доверяемом корневом ЦС – таком ЦС, информация о котором присутствует в хранилище сертификатов компьютера, производящего проверку сертификата конечного пользователя;
3. Если цепочку сертификатов не удается построить до доверяемого корневого ЦС, то ей (а значит и полученным данным) доверять нельзя. Однако надежность того или иного центра сертификации может быть подтверждена самим пользователем.

Если цепочка сертификатов разорвана, это значит, что, либо нет нужных данных в хранилище сертификатов компьютера, либо на каком-то шаге построения цепочки был обнаружен отозванный сертификат. Все отозванные сертификаты образуют так называемый список отзыва сертификатов (CRL).

Основная идея использования сертификатов в том, что на предприятии создается собственная система, позволяющая в любой момент отследить подлинность информации и участников безопасности. При использовании длинных шифровальных ключей эту систему практически невозможно взломать, однако пользователи должны доверять только той информации, которая имеет действительный сертификат, вся остальная информация и соединения автоматически отклоняются. Это значит, что необходимы механизмы для выдачи и контроля над актуальностью сертификатов.

Заявки на сертификаты можно подавать для самих центров сертификации и для конечного пользователя вручную или автоматически.

Заявка на сертификат для пользователя может быть подана через браузер или специальную оснастку Сертификаты. Заявка для ЦС формируется при его установке. В обоих случаях необходимо указывать ЦС, выдающий сертификат и цели его использования. В зависимости от настройки ЦС сертификат выдается либо сразу, либо после подтверждения заявки администратором, либо после того, как он сгенерирован на изолированном ЦС. В случае если заявка одобрена, сертификат помещается в хранилище сертификатов, на сервере запускаются службы сертификации, а клиенты могут осуществлять необходимые действия.

Если в системе ЦС настроены специальные шаблоны сертификатов возможна автоматическая подача заявок на них. Для этого администраторы ЦС должны настроить соответствующие политики распространения сертификатов на ЦС. Подача заявки заканчивается либо установкой сертификата, либо отказом в его выдаче. В любом случае до начала функционирования автоматической системы подачи заявок на сертификаты необходимо настроить процедуру распространения сертификата корневого ЦС через сведения о центрах сертификации в домене, и процедуру распространения CRL корневого ЦС.

При выдаче сертификата устанавливается срок его действия. После истечения этого срока выполнение задач, для которых был выдан сертификат, становится невозможным. В этом случае сертификат можно продлить путем направления нового запроса в ЦС. В случае если обновление сертификатов происходит автоматически, необходимо проверять подлинность подавшего заявку о продлении сертификата.

В зависимости от задач сертификаты могут действовать в течение пяти лет, но как правило, сертификаты выдаются на год. Однако в течение этого времени администратор может отозвать любой выданный ЦС сертификат и поместить информацию о нем в CRL. При этом необходимо учесть, что на центрах сертификации публикуются разностные CRL (содержащие информацию об отозванных сертификатах с момента опубликования полных CRL). Далеко не все приложения могут работать с разностными CRL. Поэтому администратору ЦС необходимо публиковать на соответствующих серверах полный CRL как можно чаще и следить за этой процедурой постоянно.

Размещение ЦС, политики подачи заявок и контроля отозванных сертификатов должны быть утверждены административным решением на предприятии. Неукоснительное следование этим решениям позволит клиентам корпоративной сети общаться только с доверенными пользователями и использовать неизмененную во время передачи информацию. Проектировщику системы безопасности при разработке указанных документов необходимо учитывать множество параметров как, то привилегии учетных записей пользователей на запрос сертификатов, сроки действия сертификатов, иерархию ЦС, методы кэширования CRL, время распространения информации по сети и пр. Хотя WS2003 предоставляет администратору консоли Центр сертификации и Сертификаты, упрощающие первичную настройку, проектированию системы открытых ключей на предприятии необходимо уделить не менее 25% рабочего времени и трудозатрат.