НАТАЛЬЯ МЕЛЬНИКОВА
Защита коммуникаций Windows Mobile
В последний год рынок мобильных устройств переживает настоящий бум. Стремительно совершенствуясь, мобильные телефоны по уровню «интеллектуальной» начинки догоняют карманные компьютеры (КПК), а те, в свою очередь, развивают свои коммуникационные возможности. И порой уже трудно понять, чем является то или иное устройство – смарт-фоном (т.е. интеллектуальным сотовым телефоном) или коммуникатором (КПК с расширенными сетевыми возможностями).
Большинство современных КПК оснащено модулями беспроводной связи 802.11, и имеют возможность использовать GPRS-функции сотового телефона для подключения к Интернету (причем делать это тоже «по воздуху» – через инфракрасный порт или Bluetooth). Этот потенциал сначала поражает, но быстро становится привычным, и через некоторое время отсутствие возможности синхронизировать свой КПК с корпоративным сервером Exchange воспринимается как нечто совершенно «дикое».
Но как обычно бывает в жизни, удобства в одной области приносят проблемы в других сферах. Так, серьезным препятствием на пути внедрения мобильных клиентов в корпоративных сетях является низкий уровень стандартных средств защиты беспроводных коммуникаций, таких как A5/A8, WEP и т. д.
Мобильные клиенты на основе Windows Mobile 2003 предоставляют администратору богатый арсенал средств защиты сетевых соединений. В него входят прекрасно зарекомендовавшие себя протоколы, такие как WPA и 802.1X, L2TP/IPSec, SSL/TLS. Большинство этих технологий использует цифровые сертификаты, в связи с чем первым этапом в настройке защищенных коммуникаций является настройка клиентских компонентов PKI на КПК.
Управление сертификатами
В мобильной версии Windows существует только одно хранилище сертификатов, управлять которым можно с помощью приложения Certificates («Start –> Settings –> System –> Certificates»). В приложении имеется две закладки: Personal и Root.
Рисунок 1. Управление сертификатами
Первая из них относится к персональным сертификатам устройства или пользователя (в Windows Mobile нет такого жесткого разделения, как в настольной версии).
Во второй перечислены доверенные центры сертификации (CA).
За редким исключением сертификат корпоративного центра сертификации не является доверенным по умолчанию. Для того чтобы устройство могло проверять сертификаты, выданные корпоративным центром сертификации, необходимо поместить сертификат CA в список доверенных (корневых) центров. Для этого достаточно скопировать сертификат CA на КПК с помощью ActiveSync и щелкнуть на нем.
Рисунок 2. Установка сертификата CA
После подтверждения намерений сертификат будет добавлен в список доверенных сертификатов (рис. 1). Получить сертификат CA можно и через Web, для чего необходимо зайти на основную страницу веб-интерфейса сервера сертификатов и щелкнуть по ссылке «Download a CA certificate, certificate chain, or CRL». После этого необходимо загрузить сертификат в кодировке DER и установить его (рис. 3) как в предыдущем случае.
Рисунок 3. Установка сертификата CA через веб-интерфейс
Следующим этапом является получение персональных сертификатов. В стандартную поставку Windows Mobile входит утилита Enroll, которая генерирует ключевую пару, создает запрос на получение сертификата и отправляет его серверу сертификатов. Для взаимодействия с сервером сертификатов используются HTTP-запросы к веб-интерфейсу стандартного CA Windows 2000/2003.
Утилита Enroll имеет возможность запрашивать только сертификаты, основанные на шаблоне «Authenticated Session». Они могут быть использованы для аутентификации устройства в протоколах EAP, IPSec и SSL.
Чтобы настроить сервер сертификатов на выдачу сертификатов данного типа, необходимо открыть оснастку управления CA, щелкнуть правой кнопкой мыши на пункте «Certificate Templates» и выбрать пункт «Manage». В появившемся окне открыть свойства шаблона «Authenticated Session», перейти на закладку «Security» и присвоить право Enroll группе мобильных пользователей. Затем нужно снова щелкнуть на пункте «Certificate Templates» в оснастке управления CA и выбрать пункт контекстного меню «New –> Certificate Template To Issue», после чего дважды щелкнуть на пункте «Authenticated Session».
Рисунок 4. Добавление шаблона сертификатов
Затем на мобильном устройстве запускается утилита Enroll («Start –> Settings –> System –> Enroll»). В утилите необходимо указать имя пользователя, пароль и адрес сервера сертификатов.
Рисунок 5. Запрос сертификата
Утилита Enroll обладает рядом недостатков. Во-первых, она позволяет запрашивать только сертификаты, основанные на шаблоне «Authenticated Session». Во-вторых, Enroll не поддерживает возможности запроса сертификата у сервера, требующего использования SSL. Кроме того, утилита имеет возможность работать только с сервером сертификатов Microsoft.
Если возникает необходимость получать сертификаты, основанные на других шаблонах, можно модифицировать содержимое файла C:WINDOWSsystem32certsrvcertfnsh.asp. В строке 47 необходимо заменить sAttributes=Request.Form («CertAttrib») на название требуемого шаблона, например sAttributes=«CertificateTemplate:User».
В случае если на предприятии используется сервер сертификатов, отличный от Microsoft Certification Authority, можно воспользоваться одной из утилит, например PPCCert (http://webs.ono.com/usr030/kiko_vives/ppccert), позволяющих импортировать файлы в формате PKCS#12 (pfx) в хранилище Windows Mobile.
Беспроводные соединения
Основой современных стандартов защиты беспроводных сетей, таких как Wi-Fi Protected Access (WPA) и 802.11i является технология 802.1X. Она была разработана для предотвращения возможности несанкционированного доступа к ресурсам сети даже при наличии физического соединения. Перед тем как получить доступ к сети на канальном уровне каждое подключаемое устройство должно пройти аутентификацию с использованием протокола Extensible Authentication Protocol (EAP) или его модификаций.
В инфраструктуре 802.1X разделяют три основных компонента: клиентский компьютер (Supplicant), коммутатор или точка доступа (Authenticator), сервер аутентификации (Authentication Server).
Функции сервера аутентификации выполняет корпоративный сервер RADIUS. Он проверяет подлинность предоставленных клиентом для аутентификации данных и контролирует доступ к ресурсам сети. Точка доступа или коммутатор являются своеобразным посредником (proxy), преобразующим клиентские запросы EAPoL (EAP over LAN) в данные протокола RADIUS и обратно.
Windows Mobile 2003 поддерживает стандарт WPA с аутентификацией 802.1X. При использовании 802.1X, для аутентификации клиента может быть задействован цифровой сертификат (EAP-TLS) либо пароль пользователя (PEAP-MSCHAPv2). Во втором случае протокол MSCHAPv2 будет работать внутри виртуального канала, зашифрованного с помощью TLS (PEAP расшифровывается как Protected EAP).
Чтобы обеспечить нормальную работу протоколов EAP и PEAP, необходимо установить сертификат, основанный на шаблоне «RAS and IAS Server», на сервер RADIUS и указать этот сертификат в политиках удаленного доступа.
Рисунок 6. Настройка политик удаленного доступа RADIUS
Настройки со стороны устройства довольно просты. После активации беспроводного интерфейса необходимо перейти в пункт настроек беспроводного подключения («Settings –> Connections –> Connections –> Advanced –> Network Card») и нажать на ссылке «Add new». В появившемся окне указывается SSID сети, после чего на закладке «Network key» выбирается тип аутентификации WPA и шифрование TKIP. На странице 802.1X указывается используемый тип аутентификации.
Рисунок 7. Настройка WPA на клиенте
В случае если был выбран метод «Smart Card or Certi-ficate», на устройстве должен присутствовать действующий клиентский сертификат. При использовании метода PEAP-MSCHAPv2 необходимо указать имя и пароль пользователя.
Для отладки соединения очень удобно пользоваться журналом System сервера RADIUS. В случае сбоя подключения в нем сохраняются события с EventID 2, содержащие подробную информацию о причине возникновения ошибки. Например, сообщение, приведенное ниже, характерно для тех ситуаций, когда в политиках удаленного доступа сервера RADIUS указан протокол аутентификации, отличный от протокола, используемого устройством.
Event Type: Warning
Event Source: IAS
Event Category: None
Event ID: 2
Date: 02.04.2005
Time: 14:13:40
User: N/A
Computer: DC
Description:
User dom01\User was denied access.
Fully-Qualified-User-Name = dom01.infosec.ru/Users/User
NAS-IP-Address = 192.168.0.50
NAS-Identifier = DWL-2000AP
Called-Station-Identifier = 00-0d-88-84-a2-b1
Calling-Station-Identifier = 00-30-05-73-60-06
Client-Friendly-Name = Access Point
Client-IP-Address = 192.168.0.50
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 0
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = Wireless
Authentication-Type = EAP
EAP-Type = <undetermined>
Reason-Code = 22
Reason = The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
|
Построение VPN
Мобильный клиент на основе Windows может использовать технологии VPN для подключения к ресурсам сети. Поддерживаются протоколы PPTP и L2TP/IPSec. В случае использования IPSec для аутентификации устройства могут применяться цифровые сертификаты или общий ключ.
Если при соединении с сервером VPN используется не модем, а беспроводной адаптер, необходимо настроить профили подключения. Для этого в настройках соединения («Settings –> Connections –> Connections –> Advanced –> Select Network») нужно открыть настройки «внутренней» сети, нажав на нижнюю кнопку «Edit», после чего на закладке «VPN» нажать кнопку «New» и указать параметры подключения к VPN.
Рисунок 8. Настройка профиля VPN
Затем указывается, что беспроводной адаптер подключает устройство к Интернету, а не к внутренней сети. Это делается для того, чтобы Windows могла задействовать VPN при активном соединении. Для этого в настройках соединений («Settings –> Connections –> Connections –> Advanced») необходимо нажать на кнопку Network Card и указать, что данные сетевые карты подключены к Интернету.
Рисунок 9. Настройка сетевых адаптеров
После того как беспроводной адаптер подключится к точке доступа, можно будет инициировать VPN-соединение.
Рисунок 10. Соединение VPN
Для мониторинга соединений удобно пользоваться оснасткой «MMC IP Security Monitor» или утилитой командной строки netsh.
Рисунок 11. Просмотр соединений IPSec в утилите nesh
Подробнее об устранении неисправностей в работе IPSec можно узнать из статьи «Неизвестный IPSec», Windows & .NET Magazine №6, 2003 г.
Доступ к серверу Exchange
Для доступа к серверу Exchange из Windows Mobile 2003 применяется синхронизация ActiveSync или online-доступ через Outlook Mobile Access (OMA). Обе эти технологии используют в качестве транспорта HTTP и должны быть защищены с помощью SSL.
Для включения поддержки этих функций на сервере Exchange необходимо в оснастке Exchange System Manager открыть свойства пункта Mobile Services и разрешить синхронизацию со стороны пользователя (Enable user initiated synchronization) и поддержку OMA. Дополнительно можно включить обработку запросов от неподдерживаемых устройств.
Рисунок 12. Настройка мобильного доступа к Exchange
Это бывает удобно, когда доступ к Exchange осуществляется с настольного компьютера или ноутбука, но посредством слабого канала связи. Поскольку интерфейс OMA гораздо более «лаконичен», чем интерфейс OWA, его использование помогает экономить время и нервы при чтении почты. Поскольку и OMA, и ActiveSync используют аутентификацию Basic, необходимо убедиться, что в настройках аутентификации сервера IIS установлено правильное имя домена по умолчанию. Кроме того, необходимо включить обязательное использование SSL при обращении к виртуальным директориям OMA и Microsoft-Server-ActiveSync. Это можно проделать с помощью стандартных средств настройки безопасности Internet Information Server.
Настройка ActiveSync на КПК довольно проста. Необходимо запустить приложение ActiveSync («Start –> Programs –> Activesync»), выбрать пункт меню «Tools –> Options» и на закладке Server указать имя сервера и синхронизируемые объекты. Дополнительно можно настроить автоматическую синхронизацию через заданные интервалы времени (кнопка «Options»).
Если сервер настроен на поддержку SSL, то необходимо установить опцию «This server uses an SSL connection».
Рисунок 13. Настройки ActiveSync
Для работы с OMA достаточно подключиться к сети, запустить Pocket Internet Explorer и ввести в строке URL вида https:///oma.
Рисунок 14. Доступ к OMA
Лаконичный интерфейс OMA мало подходит для работы с заполненными почтовыми ящиками, но позволяет сэкономить ресурсы устройства. Хотя, если пропускная способность канала связи не является ограничивающим фактором, даже при разрешении экрана 320x240 можно довольно комфортно работать с полнофункциональной версией Outlook Web Access (рис. 15). В современных КПК, поддерживающих расширение 640x480, OWA практически не отличается от своего настольного варианта.
Рисунок 15. OWA в разрешении 320x240
Таким образом, мобильные клиенты могут задействовать современные технологии защиты коммуникаций, начиная с канального уровня модели OSI (WPA) и заканчивая защитой доступа к приложениям. К неудобствам, возникающим при настройке Windows Mobile, можно отнести отсутствие возможности импорта сертификатов в формате PKCS#12 и списков отозванных сертификатов. Кроме того, отсутствует возможность настраивать IPSec отдельно от L2TP.