Windows szolgáltatások sorozat
2005/03/20 15:28
1221 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A LocalSystem mindenekfelett

Haladva a kirakós játékban, ebben a cikksorozatban 15 ujabb szolgáltatás ismertetése következik, persze továbbra is kizárólag a Windows Server 2003 Standard verziójának alapértelmezett telepítése során felkerülő szervizek közül. Íme a jelenlegi adag:

- IPSEC Services
- Kerberos Key Distribution Center
- Logical Disk Manager
- Logical Disk Manager Administrative Service
- Messenger
- Microsoft Software Shadow Copy Provider
- Net Logon
- NetMeeting Remote Desktop Sharing
- Network Connections
- Network DDE
- Network DDE DSDM
- Network Location Awareness (NLA)
- NT LM Security Support Provider
- Plug and Play
- Portable Media Serial Number

IPSec Services (IPSec-szolgáltatások)
A szerviz rövid neve: PolicyAgent
Az alkalmazás neve: lsass.exe
Függés: Remote Procedure Call, TCP/IP Protocol Driver, IPSEC Driver
Függesztés: -
Porthasználat: TCP: 50 (ESP), 51 (AH), UDP: 500 (ISAKMP), UDP 4500 (ISAKMP2>NAT-T)
Alapértelmezett indítás: automatikus

A Windows 2000-nél ezt a szervizt "IPSEC Policy Agent" néven azonosíthatjuk, ám nem valószínű, hogy a névváltoztatás sokakat zavarna, hiszen jól ismerjük ezt a szolgáltatást, jól "cseng" a neve. Az IPSec egy olyan nyílt szabvány, amelyet a Microsoft kicsit felturbózott, így tartományi környezetben, Kerberos v5 hitelesítéssel és akár a Csoportházirendből vezérelve is használhatjuk. Ez persze nem jelenti azt, hogy e feltételek nélkül nem fog működni, sőt, ez annyira nem így van, hogy pl. azon kevés házirend opciók közé is bekerült, amelyek egy helyi házirendben is a rendelkezésünkre állnak - azaz tartomány nélkül is alkalmazhatóak. Az IPSec alacsony hálózati rétegben működik, és mivel átlátható (azaz az alkalmazások semmit nem vesznek észre a jelenlétéből), takarékos is, ugyanakkor minimális átviteli sebesség veszteséggel jár.
Az IPSec hash algoritmusokkal és a nyilvános kulcsú titkosítással védi a végpontok közötti kommunikációt. Egy kulcsot használ az adatok aláírásához és titkosításához, és egy másikat az üzenet ellenőrzéséhez illetve a viszafejtéshez. Négyféle módszerrel is védelmet nyújthat:
- Hitelesítés: minden csomagot hitelesít, illetve minden csomag eredetét ellenőrzi, ergo garantált, hogy a csomag attól származik, akitől szeretnénk megkapni (a hitelesítés típusa lehet Kerberos, digitális aláírás, vagy egy megosztott titkos kulcs, azaz pl. egy jelszó.
- Integritás ellenőrzés: az IPSec garantálja azt is, hogy nem lehet módosítani a csomagot a végpontok között.
- Ismétlés-megtagadás: mivel teljesen egyedi módon ír alá minden egyes csomagot, nincs lehetőség újra használni vagy újraküldeni ezeket.
- Megbízhatóság: a csomagok titkosítása miatt, csak a megfelelő kulccsal rendelkező célpont tudja "elolvasni" a tartalmat.
Az IPSec két protokollt használ: az AH (Authentication Header) and ESP (Encapsulating Security Payload) protokollokat. Az AH autentikál, figyeli az integritást és az újraküldést illetve alá is írja a csomagokat az SHA (Secure Hash Algorithm) vagy az MD5 (Message Digest 5) algoritmus segítségével. Az ESP mindent elvégez, amit az AH, plusz titkosít is a jó öreg DES vagy a fiatalabb és izmosabb 3DES algoritmussal. A két protokoll persze kombinálható is, pl. a felhasználási területtől (intranet/internet) függően. Fontos szerepe van az ún. IKE (Internet Key Exchange) vagy ahogy a protokoll fejlesztője Hilarie Orman anno elnevezte: ISAKMP/Oakley (merthogy az IKE a IETF, Internet Engineering Task Force elnevezése) protokollnak is, ugyanis a felismert titkosítás esetén az IPSec driver utasítására előzetesen egyezteti a két fél közötti algoritmusokat, autentikációt és a kulcsokkal kapcsolatos szabályokat egyaránt.
Az IPSec használata során az igényeink szerint kijelölt gépek teljes IP forgalma szűrés áldozatává válhat, így egyszerűen meghatározható hogy az adott kommunikáció engedélyezett, biztonságos vagy blokkolt-e az IP-címtartományok, IP protokollok vagy a megadott TCP és UDP portok alapján.
Az IPSec-et gyakran használjuk biztonságos csatornák támogatására illetve kialakítására, azaz pl. VPN kapcsolatnál, akár az L2TP protokoll "alá", akár IPSec alagútak formájában (az utóbbi pl. az ISA 2004-gyel már viszonylag egyszerűen beizzítható).

A szerviz maga tehát a végpontok közötti biztonságot fokozza, ott áll az IPSec házirendek végrehajtása mögött, kontrollálja az IPSec driver működését, akár az intraneten, akár a nyilvános hálózatokon keresztül.
Abban az esetben ha leállítjuk vagy letiltjuk, akkor az IPSec alkalmazhatósága természetesen minden folyamatban megszűnik, más ismert következménye viszont nincs ennek a lépésnek.

Folytatjuk...

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek