Защита коммуникаций Windows Mobil::Журнал СА4.2005
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6230
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6936
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4224
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3013
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3809
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3826
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6322
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3173
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3465
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7282
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12369
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14002
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9130
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7082
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5391
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4619
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3430
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3160
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3405
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3029
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Защита коммуникаций Windows Mobil

Архив номеров / 2005 / Выпуск №4 (29) / Защита коммуникаций Windows Mobil

Рубрика: Безопасность /  Сетевая безопасность

НАТАЛЬЯ МЕЛЬНИКОВА

Защита коммуникаций Windows Mobile

В последний год рынок мобильных устройств переживает настоящий бум. Стремительно совершенствуясь, мобильные телефоны по уровню «интеллектуальной» начинки догоняют карманные компьютеры (КПК), а те, в свою очередь, развивают свои коммуникационные возможности. И порой уже трудно понять, чем является то или иное устройство – смарт-фоном (т.е. интеллектуальным сотовым телефоном) или коммуникатором (КПК с расширенными сетевыми возможностями).

Большинство современных КПК оснащено модулями беспроводной связи 802.11, и имеют возможность использовать GPRS-функции сотового телефона для подключения к Интернету (причем делать это тоже «по воздуху» – через инфракрасный порт или Bluetooth). Этот потенциал сначала поражает, но быстро становится привычным, и через некоторое время отсутствие возможности синхронизировать свой КПК с корпоративным сервером Exchange воспринимается как нечто совершенно «дикое».

Но как обычно бывает в жизни, удобства в одной области приносят проблемы в других сферах. Так, серьезным препятствием на пути внедрения мобильных клиентов в корпоративных сетях является низкий уровень стандартных средств защиты беспроводных коммуникаций, таких как A5/A8, WEP и т. д.

Мобильные клиенты на основе Windows Mobile 2003 предоставляют администратору богатый арсенал средств защиты сетевых соединений. В него входят прекрасно зарекомендовавшие себя протоколы, такие как WPA и 802.1X, L2TP/IPSec, SSL/TLS. Большинство этих технологий использует цифровые сертификаты, в связи с чем первым этапом в настройке защищенных коммуникаций является настройка клиентских компонентов PKI на КПК.

Управление сертификатами

В мобильной версии Windows существует только одно хранилище сертификатов, управлять которым можно с помощью приложения Certificates («Start –> Settings –> System –> Certificates»). В приложении имеется две закладки: Personal и Root.

Рисунок 1. Управление сертификатами

Рисунок 1. Управление сертификатами

Первая из них относится к персональным сертификатам устройства или пользователя (в Windows Mobile нет такого жесткого разделения, как в настольной версии).

Во второй перечислены доверенные центры сертификации (CA).

За редким исключением сертификат корпоративного центра сертификации не является доверенным по умолчанию. Для того чтобы устройство могло проверять сертификаты, выданные корпоративным центром сертификации, необходимо поместить сертификат CA в список доверенных (корневых) центров. Для этого достаточно скопировать сертификат CA на КПК с помощью ActiveSync и щелкнуть на нем.

Рисунок 2. Установка сертификата CA

Рисунок 2. Установка сертификата CA

После подтверждения намерений сертификат будет добавлен в список доверенных сертификатов (рис. 1). Получить сертификат CA можно и через Web, для чего необходимо зайти на основную страницу веб-интерфейса сервера сертификатов и щелкнуть по ссылке «Download a CA certificate, certificate chain, or CRL». После этого необходимо загрузить сертификат в кодировке DER и установить его (рис. 3) как в предыдущем случае.

Рисунок 3. Установка сертификата CA через веб-интерфейс Рисунок 3. Установка сертификата CA через веб-интерфейс

Рисунок 3. Установка сертификата CA через веб-интерфейс

Следующим этапом является получение персональных сертификатов. В стандартную поставку Windows Mobile входит утилита Enroll, которая генерирует ключевую пару, создает запрос на получение сертификата и отправляет его серверу сертификатов. Для взаимодействия с сервером сертификатов используются HTTP-запросы к веб-интерфейсу стандартного CA Windows 2000/2003.

Утилита Enroll имеет возможность запрашивать только сертификаты, основанные на шаблоне «Authenticated Session». Они могут быть использованы для аутентификации устройства в протоколах EAP, IPSec и SSL.

Чтобы настроить сервер сертификатов на выдачу сертификатов данного типа, необходимо открыть оснастку управления CA, щелкнуть правой кнопкой мыши на пункте «Certificate Templates» и выбрать пункт «Manage». В появившемся окне открыть свойства шаблона «Authenticated Session», перейти на закладку «Security» и присвоить право Enroll группе мобильных пользователей. Затем нужно снова щелкнуть на пункте «Certificate Templates» в оснастке управления CA и выбрать пункт контекстного меню «New –> Certificate Template To Issue», после чего дважды щелкнуть на пункте «Authenticated Session».

Рисунок 4. Добавление шаблона сертификатов

Рисунок 4. Добавление шаблона сертификатов

Затем на мобильном устройстве запускается утилита Enroll («Start –> Settings –> System –> Enroll»). В утилите необходимо указать имя пользователя, пароль и адрес сервера сертификатов.

Рисунок 5. Запрос сертификата

Рисунок 5. Запрос сертификата

Утилита Enroll обладает рядом недостатков. Во-первых, она позволяет запрашивать только сертификаты, основанные на шаблоне «Authenticated Session». Во-вторых, Enroll не поддерживает возможности запроса сертификата у сервера, требующего использования SSL. Кроме того, утилита имеет возможность работать только с сервером сертификатов Microsoft.

Если возникает необходимость получать сертификаты, основанные на других шаблонах, можно модифицировать содержимое файла C:WINDOWSsystem32certsrvcertfnsh.asp. В строке 47 необходимо заменить sAttributes=Request.Form («CertAttrib») на название требуемого шаблона, например sAttributes=«CertificateTemplate:User».

В случае если на предприятии используется сервер сертификатов, отличный от Microsoft Certification Authority, можно воспользоваться одной из утилит, например PPCCert (http://webs.ono.com/usr030/kiko_vives/ppccert), позволяющих импортировать файлы в формате PKCS#12 (pfx) в хранилище Windows Mobile.

Беспроводные соединения

Основой современных стандартов защиты беспроводных сетей, таких как Wi-Fi Protected Access (WPA) и 802.11i является технология 802.1X. Она была разработана для предотвращения возможности несанкционированного доступа к ресурсам сети даже при наличии физического соединения. Перед тем как получить доступ к сети на канальном уровне каждое подключаемое устройство должно пройти аутентификацию с использованием протокола Extensible Authentication Protocol (EAP) или его модификаций.

В инфраструктуре 802.1X разделяют три основных компонента: клиентский компьютер (Supplicant), коммутатор или точка доступа (Authenticator), сервер аутентификации (Authentication Server).

Функции сервера аутентификации выполняет корпоративный сервер RADIUS. Он проверяет подлинность предоставленных клиентом для аутентификации данных и контролирует доступ к ресурсам сети. Точка доступа или коммутатор являются своеобразным посредником (proxy), преобразующим клиентские запросы EAPoL (EAP over LAN) в данные протокола RADIUS и обратно.

Windows Mobile 2003 поддерживает стандарт WPA с аутентификацией 802.1X. При использовании 802.1X, для аутентификации клиента может быть задействован цифровой сертификат (EAP-TLS) либо пароль пользователя (PEAP-MSCHAPv2). Во втором случае протокол MSCHAPv2 будет работать внутри виртуального канала, зашифрованного с помощью TLS (PEAP расшифровывается как Protected EAP).

Чтобы обеспечить нормальную работу протоколов EAP и PEAP, необходимо установить сертификат, основанный на шаблоне «RAS and IAS Server», на сервер RADIUS и указать этот сертификат в политиках удаленного доступа.

Рисунок 6. Настройка политик удаленного доступа RADIUS

Рисунок 6. Настройка политик удаленного доступа RADIUS

Настройки со стороны устройства довольно просты. После активации беспроводного интерфейса необходимо перейти в пункт настроек беспроводного подключения («Settings –> Connections –> Connections –> Advanced –> Network Card») и нажать на ссылке «Add new». В появившемся окне указывается SSID сети, после чего на закладке «Network key» выбирается тип аутентификации WPA и шифрование TKIP. На странице 802.1X указывается используемый тип аутентификации.

Рисунок 7. Настройка WPA на клиенте Рисунок 7. Настройка WPA на клиенте

Рисунок 7. Настройка WPA на клиенте

В случае если был выбран метод «Smart Card or Certi-ficate», на устройстве должен присутствовать действующий клиентский сертификат. При использовании метода PEAP-MSCHAPv2 необходимо указать имя и пароль пользователя.

Для отладки соединения очень удобно пользоваться журналом System сервера RADIUS. В случае сбоя подключения в нем сохраняются события с EventID 2, содержащие подробную информацию о причине возникновения ошибки. Например, сообщение, приведенное ниже, характерно для тех ситуаций, когда в политиках удаленного доступа сервера RADIUS указан протокол аутентификации, отличный от протокола, используемого устройством.

Event Type:      Warning

Event Source:      IAS

Event Category:      None

Event ID:  2

Date:            02.04.2005

Time:            14:13:40

User:            N/A

Computer:  DC

Description:

User dom01\User was denied access.

 Fully-Qualified-User-Name = dom01.infosec.ru/Users/User

 NAS-IP-Address = 192.168.0.50

 NAS-Identifier = DWL-2000AP

 Called-Station-Identifier = 00-0d-88-84-a2-b1

 Calling-Station-Identifier = 00-30-05-73-60-06

 Client-Friendly-Name = Access Point

 Client-IP-Address = 192.168.0.50

 NAS-Port-Type = Wireless - IEEE 802.11

 NAS-Port = 0

 Proxy-Policy-Name = Use Windows authentication for all users

 Authentication-Provider = Windows

 Authentication-Server = <undetermined>

 Policy-Name = Wireless

 Authentication-Type = EAP

 EAP-Type = <undetermined>

 Reason-Code = 22

 Reason = The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.

 

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Построение VPN

Мобильный клиент на основе Windows может использовать технологии VPN для подключения к ресурсам сети. Поддерживаются протоколы PPTP и L2TP/IPSec. В случае использования IPSec для аутентификации устройства могут применяться цифровые сертификаты или общий ключ.

Если при соединении с сервером VPN используется не модем, а беспроводной адаптер, необходимо настроить профили подключения. Для этого в настройках соединения («Settings –> Connections –> Connections –> Advanced –> Select Network») нужно открыть настройки «внутренней» сети, нажав на нижнюю кнопку «Edit», после чего на закладке «VPN» нажать кнопку «New» и указать параметры подключения к VPN.

Рисунок 8. Настройка профиля VPN Рисунок 8. Настройка профиля VPN

Рисунок 8. Настройка профиля VPN

Затем указывается, что беспроводной адаптер подключает устройство к Интернету, а не к внутренней сети. Это делается для того, чтобы Windows могла задействовать VPN при активном соединении. Для этого в настройках соединений («Settings –> Connections –> Connections –> Advanced») необходимо нажать на кнопку Network Card и указать, что данные сетевые карты подключены к Интернету.

Рисунок 9. Настройка сетевых адаптеров

Рисунок 9. Настройка сетевых адаптеров

После того как беспроводной адаптер подключится к точке доступа, можно будет инициировать VPN-соединение.

Рисунок 10. Соединение VPN

Рисунок 10. Соединение VPN

Для мониторинга соединений удобно пользоваться оснасткой «MMC IP Security Monitor» или утилитой командной строки netsh.

Рисунок 11. Просмотр соединений IPSec в утилите nesh

Рисунок 11. Просмотр соединений IPSec в утилите nesh

Подробнее об устранении неисправностей в работе IPSec можно узнать из статьи «Неизвестный IPSec», Windows & .NET Magazine №6, 2003 г.

Доступ к серверу Exchange

Для доступа к серверу Exchange из Windows Mobile 2003 применяется синхронизация ActiveSync или online-доступ через Outlook Mobile Access (OMA). Обе эти технологии используют в качестве транспорта HTTP и должны быть защищены с помощью SSL.

Для включения поддержки этих функций на сервере Exchange необходимо в оснастке Exchange System Manager открыть свойства пункта Mobile Services и разрешить синхронизацию со стороны пользователя (Enable user initiated synchronization) и поддержку OMA. Дополнительно можно включить обработку запросов от неподдерживаемых устройств.

Рисунок 12. Настройка мобильного доступа к Exchange

Рисунок 12. Настройка мобильного доступа к Exchange

Это бывает удобно, когда доступ к Exchange осуществляется с настольного компьютера или ноутбука, но посредством слабого канала связи. Поскольку интерфейс OMA гораздо более «лаконичен», чем интерфейс OWA, его использование помогает экономить время и нервы при чтении почты. Поскольку и OMA, и ActiveSync используют аутентификацию Basic, необходимо убедиться, что в настройках аутентификации сервера IIS установлено правильное имя домена по умолчанию. Кроме того, необходимо включить обязательное использование SSL при обращении к виртуальным директориям OMA и Microsoft-Server-ActiveSync. Это можно проделать с помощью стандартных средств настройки безопасности Internet Information Server.

Настройка ActiveSync на КПК довольно проста. Необходимо запустить приложение ActiveSync («Start –> Programs –> Activesync»), выбрать пункт меню «Tools –> Options» и на закладке Server указать имя сервера и синхронизируемые объекты. Дополнительно можно настроить автоматическую синхронизацию через заданные интервалы времени (кнопка «Options»).

Если сервер настроен на поддержку SSL, то необходимо установить опцию «This server uses an SSL connection».

Рисунок 13. Настройки ActiveSync

Рисунок 13. Настройки ActiveSync

Для работы с OMA достаточно подключиться к сети, запустить Pocket Internet Explorer и ввести в строке URL вида https:///oma.

Рисунок 14. Доступ к OMA

Рисунок 14. Доступ к OMA

Лаконичный интерфейс OMA мало подходит для работы с заполненными почтовыми ящиками, но позволяет сэкономить ресурсы устройства. Хотя, если пропускная способность канала связи не является ограничивающим фактором, даже при разрешении экрана 320x240 можно довольно комфортно работать с полнофункциональной версией Outlook Web Access (рис. 15). В современных КПК, поддерживающих расширение 640x480, OWA практически не отличается от своего настольного варианта.

Рисунок 15. OWA в разрешении 320x240 Рисунок 15. OWA в разрешении 320x240

Рисунок 15. OWA в разрешении 320x240

Таким образом, мобильные клиенты могут задействовать современные технологии защиты коммуникаций, начиная с канального уровня модели OSI (WPA) и заканчивая защитой доступа к приложениям. К неудобствам, возникающим при настройке Windows Mobile, можно отнести отсутствие возможности импорта сертификатов в формате PKCS#12 и списков отозванных сертификатов. Кроме того, отсутствует возможность настраивать IPSec отдельно от L2TP.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru