PROJEKT ZABEZPIECZEŃ SIECI

KOMPUTEROWEJ

„SOLAR” SP. Z O.O.

KONSULTACJE I DORADZTWO

PROJEKTOWO - WDROŻENIOWE

1.Wstęp

1.1 Struktura przedsiębiorstwa:

Centrala firmy zatrudnia 8 osób, składają się na nią następujące działy: Kierownictwo, HR, Księgowość, Marketing, Dział reklamacji, Dział rekrutacji.

Firma posiada 6 oddziałów terenowych ok. 10 osób które zajmóją się zdobywaniem zamówień.

Dla firmy pracują konsultanci w firmach klientów 70-100 osób w ok. 20-30 firmach klientów. Czas trwania projektu 1-12 miesięcy, średnio 3-4 miesiące. Rozliczanie projektów odbywa się tygodniowo (sprawozdania) Fakturowanie odbywa się co 14 dni.

Zatrudniani przez firmę konsultanci pracują w działach badawczych i wdrożeniowych dużych korporacji. Sprawozdania odwołują się do szczegółów realizacji projektów. Konsultanci komunikują się z centralą i oddziałami przez e-mail-e i serwis www.

W przedsiębiorstwie istnieje również dział reklamacji który konsultuje się w sprawach projektów, wyceny itp. Z klientami przez serwisy internetowe i pocztę elektroniczną.

1.2 Zarys projektu

W projekcie wykorzystane zostały tylko możliwości systemu Windows 2000 Server. Firma, której sieć będziemy zabezpieczać posiada oddział główny oraz oddziały terenowe. Muszą one współpracować w szerokim zakresie działań. Firma świadczy usługi dla innych jednostek zatrudniając pracowników, którzy wykonują swe obowiązki w siedzibie klienta. Pracownicy ci komunikują się z centralą firmy korzystając z poczty elektronicznej oraz stron www.

Pośród zabezpieczeń, które powinny być wprowadzone w firmie należy wyróżnić zabezpieczenia związane z możliwością utraty danych oraz przerw w funkcjonowaniu infrastruktury informatycznej firmy oraz rozwiązania zabezpieczające dane przed nieuprawnionymi użytkownikami.

2. Zabezpieczenia przed uszkodzeniem sieci

2.1 Zabezpieczenia przed uszkodzeniem serwerów

Zakładam, że wszystkie oddziały będą dysponować siecią wykorzystująca system Windows 2000 Server. Zarówno biuro główne jak i oddziały firmy powinny zostać skonfigurowane w ten sam sposób.

Serwery powinny zostać zabezpieczone przed uszkodzeniami dysków i sprzętu (jest to także element polityki bezpieczeństwa ). W tym celu dyski zostaną zabezpieczone przy wykorzystaniu technologii RAID 1 (dublowanie dysków). Zapewnia ona zapisywanie danych równolegle na dwóch dyskach chroniąc dane w przypadku uszkodzenia jednego z dysków.(gdy zostanie uszkodzony jeden z dysków dane pozostają ciągle dostępne na drugim) Ochronę przed uszkodzeniem jednego z serwerów zapewni replikacja i współdziałanie przynajmniej dwóch serwerów w ramach domeny Windows 2000. Należy także pamiętać o zastosowaniu odpowiednich środków zabezpieczających przed zanikiem zasilania lub przepięciami w sieci energetycznej (UPS). Istotne jest także sporządzenie odpowiedniej polityki wykonywania kopii zapasowych. Zakładamy, że w naszej firmie codziennie archiwizowane będą dane użytkowników, które umieszczone zostały na dysku serwera. Dane przechowywane na stacjach roboczych będą archiwizowane co tydzień.

2.2 Konfiguracja serwerów

Serwery należy skonfigurować tak aby każdy system wyposażony był w dwa twarde dyski. Dyski powinny zostać podzielone na dwie partycje (a w zasadzie woluminy dynamiczne bo jest to obowiązująca nazwa w Windows 2000). Dla potrzeb systemu operacyjnego tworzymy w procesie instalacji partycję o rozmiarze około 5GB (w zupełności wystarczy na dysku twardym musi pozostać miejsce na partycję użytkowników i 1MB przestrzeni niezaalokowanej) na jednym z dysków twardych. Po ukończeniu procesu instalacji uaktualniamy dyski obecne w systemie do dysków dynamicznych. I tworzymy wolumin dublowany dla potrzeb systemowych. Tworzymy także drugi wolumin dublowany do wykorzystania dla użytkowników. W celu utworzenia woluminów dublowanych uruchamiamy przystawkę zarządzanie komputerem (Prawy klawisz Mój Komputer i Zarządzaj - chyba najszybszy sposób :) ). Wybieramy Zarządzanie Dyskami i klikamy prawym przyciskiem na prostokąt z napisem "Dysk 0 Podstawowy", wybieramy uaktualnij do dysku dynamicznego (do procesu wymagany jest 1MB przestrzeni niezaalokowanej). Powtarzamy czynność dla dysku 1. W efekcie na dysku 0 otrzymujemy wolumin systemowy, na który klikamy prawym przyciskiem i wybieramy opcję Dodaj Dublowanie. Wskazujemy dysk 1 jako miejsce, na które chcemy dublować wolumin. Tworzymy także wolumin prosty na dysku 0 klikamy prawym przyciskiem niezaalokowaną przestrzeń i wybieramy Utwórz Wolumin. Utworzony wolumin przeznaczymy dla potrzeb użytkowników, którzy powinni zapisywać dane o szczególnym znaczeniu na dysk serwera. Dla tego woluminu także tworzymy dublowanie w podobny sposób jak powyżej.

2.3 Kopie zapasowe

Istotnym czynnikiem dla zapewnienia bezpieczeństwa jest także jak już wspomniano plan wykonywania kopii zapasowych. Jako nośnik, który będzie wykorzystywany w celu tworzenia kopii wybieram płytki CD-R jak najtańszy nośnik z możliwych. Jako sposób tworzenia kopii zapasowych wybieramy następujący algorytm. Codziennie z wyjątkiem piątku tworzymy przyrostową kopię danych archiwizującą dane, które uległy zmianie od poprzedniej archiwizacji i oznaczającą dane jako zarchiwizowane, w piątki natomiast tworzymy normalną kopię danych. Archiwizować będziemy cały wolumin przeznaczony na potrzeby użytkowników. W ten sposób aby odzyskać dane utracone w czwartek musimy zastosować nośniki z kopią piątkową normalną oraz wszystkie nośniki utworzone od piątku do czwartku.

Kopie zapasowe można tworzyć przy użyciu narzędzi producentów innych niż Microsoft (np. Veritas). My jednak zdecydujemy się na wykorzystanie istniejącego w systemie narzędzia kopia zapasowa (start -> programy -> narzędzia systemowe -> kopia zapasowa.) W celu utworzenia kopii zapasowej wybieramy zakładkę "kopia zapasowa" i wybieramy katalogi, pliki przeznaczone do archiwizacji, określamy gdzie umieścimy plik z kopią zapasową, klikamy rozpocznij -> rozpocznij wykonywanie kopii zapasowej.

Archiwizować będziemy nie tylko dane użytkowników, lecz także stan systemu obejmujący kopię rejestru, plików rozruchowych, bazy Active Directory, usług certyfikatów. Kopia stanu systemu pozwoli nam z łatwością odtworzyć system serwera i odzyskać dane dotyczące konfiguracji tegoż. Kopie stanu systemu tworzy się w ten sam sposób co normalne kopie (narzędzie "kopia zapasowa")

2.4 Zabezpieczenie systemu

Serwery można także zabezpieczyć przed instalacją sterownika urządzeń, który może powodować konflikt w działaniu systemu (sterownik nie podpisany). W rzeczywistości sterowniki takie często są całkowicie bezpieczne, a brak akceptacji ze strony Microsoftu dla tych sterowników wynika tylko z tego, że producenci sprzętu nie zapłacili M. za zbadanie działania sterownika.

2.5 Konfiguracja systemu

Sieć zostanie skonfigurowana jako jedna domena (firma.com) z dwoma kontrolerami domeny (serwer1.firma.com, serwer2.firma.com) w każdym biurze wydziałowym w celu zapewnienia nadmiarowości (domena będzie połączona VPN-ami). Taki układ zapewnia możliwość poprawnej pracy sieci lokalnej w przypadku awarii jednego z kontrolerów. W celu uzyskania takiego efektu instalujemy system Windows 2000 Serwer, a po ukończeniu instalacji uruchamiamy program dcpromo na pierwszym instalowanym kontrolerze domeny.

Wybieramy opcje tworzenia kontrolera domeny dla nowej domeny. Wprowadzamy nazwę domeny (firma.com) i akceptujemy konieczność instalacji serwera DNS. Po zatwierdzeniu wszystkich pozostałych opcji i kilkuminutowym oczekiwaniu staniemy się posiadaczami nowego kontrolera domeny. Na drugim z komputerów, któremu także przypisaliśmy rolę kontrolera domeny powtarzamy proces z tą różnicą, że wybieramy opcję utworzenia kontrolera domeny w już istniejącej domenie (firma.com). Replikacja danych pozostaje procesem przeźroczystym dla użytkownika i administratora i w zasadzie nie trzeba nic więcej konfigurować.

Dodanie kontrolera domeny spowoduje powstanie możliwości pracy w domenie po uszkodzeniu pierwszego kontrolera domeny (będzie możliwe zalogowanie, będzie pracował system DNS). Niedostępne jednak pozostaną dane ulokowane na serwerze, który uległ uszkodzeniu. W tym celu skonfigurujemy Rozproszony System Plików DFS. Zapewni on replikację danych użytkowników. Pracujemy na serwer1.firma.com. Tworzymy udział sieciowy obejmujący cały wolumin przeznaczony dla potrzeb użytkowników (Mój Komputer -> dysk, na którym znajdować się będą dane użytkowników (d?) ->prawy klawisz myszki -> udostępnianie -> nowy udział -> podajemy nazwę udziału (przykładowo "dyskd"). Wybieramy START -> Programy -> Narzędzia Administracyjne -> Rozproszony System Plików -> klikamy prawym przyciskiem na tekst "rozproszony system plików" w lewym oknie -> wybieramy nowy katalog główny systemu DFS -> akceptujemy trzy okna z ustawieniami domyślnymi -> upewniamy się, że jako udział podany jest "dyskd" i akceptujemy pozostałe okna. W oknie konsoli Rozproszony system plików pojawia się katalog główny systemu DFS (firma.com\dyskd). Klikam na nim prawym przyciskiem i wybieramy opcję nowa replika katalogu głównego. Określamy serwer, na który ma być wykonana replika (serwer2) i akceptujemy pozostałe ustawienia. Wracamy do przystawki rozproszony system plików i klikamy ponownie prawym klawiszem na "firma.com\dyskd". Wybieramy Zasady Replikacji i ustawiamy replikację automatyczną.

3. Hasła i konta użytkowników

Zdefiniujemy teraz politykę firmy w zakresie haseł dla kont użytkowników oraz podstawowych praw dostępu do serwera. Owe aspekty bezpieczeństwa możemy skonfigurować przy użyciu zasad grup.

3.1 Zasady grup

Zasady grup umożliwiają administrację szerokim zakresem zabezpieczeń na poziomie komputera (każdego w sieci), jednostek organizacyjnych (OU czyli kontenerów przechowujących obiekty takie jak komputery czy użytkownicy) czy wreszcie na poziomie domeny. W projekcie zakładam, że wszystkie komputery, z których korzystają użytkownicy wyposażone są w system Windows 2000 Proff, systemy starsze nie korzystają z dobrodziejstw zasad grup. W projekcie ustanowiam zasady na poziomie domeny albowiem pozwala to na administrację aspektami zabezpieczeń przy jak najmniejszym wysiłku. Zasady grup na poziomie domeny zastępują zasady ustalane lokalnie dla komputerów. Przy pomocy zasad grup możemy ustalić zasady jakie muszą spełniać hasła stosowane w domenie, zasady blokowania konta po nieudanym kilkukrotnym logowaniu, można także ustawiać zasady i prawa którym podlegają użytkownicy.

3.2 Hasła

W celu zabezpieczenia sieci przed metodą włamania polegającą na zgadywaniu haseł ustawiamy w zasadach grup próg blokady konta na 3. Spowoduje to, że po trzech nieudanych próbach logowania konto zostanie zablokowane. Ustawiamy także czas trwania blokady konta na dużą wartość (przykładowo 1000 minut) tak aby użytkownik, którego konto zostało zablokowane musiał skorzystać z usług administratora sieci w celu odblokowania konta.

Konfiguracja:

Start -> Programy -> Narzędzia administracyjne -> Użytkownicy i komputery Usługi Active Directory -> Prawy klawisz na nazwie domeny - > Właściwości-> Zakładka Zasady grup -> wybór "default domain policy" i kliknięcie edytuj -> Konfiguracja komputera -> ustawienia systemy Windows -> Zasady zabezpieczeń -> zasady konta -> zasady blokady konta -> dwukrotne kliknięcie na Próg blokady konta ustawienie wartości, dwukrotne kliknięcie na okres blokady konta i ustawienie wartości.

Skoro już jesteśmy w tych zakamarkach systemu Windows możemy też zapewnić minimalną długość stosowanego hasła (czyli uniemożliwić puste hasła). W tym celu ustawiamy zasady haseł. Powracamy więc do zasad konta (patrz poprzedni akapit) i wybieramy zasady haseł. Ustawiamy w podobny jak poprzednio sposób Minimalną długość hasła na 5 znaków. Możemy tutaj także wymusić zmianę haseł co określoną ilość dni, lecz zaniechamy tego ze względu na ulotną pamięć użytkowników:).

4. Użytkownicy i uprawnienia dostępu do danych

Oprócz zabezpieczeń opisanych powyżej skonfigurujemy naszą sieć w taki sposób by każdy z użytkowników dysponował tylko niezbędnymi uprawnieniami dostępu do plików.

4.1 Tworzenie użytkowników i grup oraz ich prawa

Użytkowników należy podzielić na kategorie według ich wymagań co do użytkowania sieci i praw przewidzianych dla nich.

Tworzymy osobne grupy dla każdego z działów naszej firmy. Grupom będziemy przypisywać prawa do konkretnych zasobów a członków poszczególnych jednostek organizacyjnych naszej firmy umieścimy w odpowiednich grupach. Identyczne grupy tworzymy w sieciach biura centralnego i biur wydziałowych. Tworzymy grupy:

-Kierownictwo,

-HR,

-Księgowość,

-Marketing.

Wszystkie grupy to zwykli użytkownicy systemu nie należący do grup o specjalnych przywilejach (Administratorzy, Administratorzy kont, serwera itd).

Zakładam, że grupa Kierownictwo może zajrzeć wszędzie i zmienić wszystko (warunkują to przyczyny socjotechniczne :) spróbujmy zabronić czegoś swemu kierownikowi).

Grupa Kierownictwo tworzona jest jako grupa globalna, pozostałe grupy są grupami lokalnymi. Grupy globalne mogą mieć użytkowników tylko z domeny lokalnej, ale użytkownicy ci uzyskują dostęp do zasobów całego lasu. Grupy lokalne mogą mieć użytkowników z dowolnej domeny lasu, mogą też zawierać grupy globalne. Grupa lokalna uzyskuje jednak dostęp tylko do danych z domeny lokalnej. Grupę kierownictwo dodamy do wszystkich pozostałych grup.

4.2 NTFS

W celu zapewnienia pełnego bezpieczeństwa dostępu do danych nasze skonfigurowane woluminy muszą być sformatowane w systemie NTFS (można dokonać konwersji na ten system plików nawet po instalacji systemu na partycjach FAT przy użyciu narzędzia convert). Dzięki systemowi plikowemu NTFS możliwe jest konfigurowanie nie tylko zabezpieczeń i uprawnień udziałów (katalogów i plików dostępnych w sieci), ale także zabezpieczeń i uprawnień związanych z dostępem lokalnym do danych. Uprawnienia dostępu do katalogu systemowego WINNT są konfigurowane automatycznie w procesie instalacji kontrolera domeny (dcpromo). Dobrym rozwiązaniem pozostaje pozostawienie ich bez zmian. Na woluminie dostępnym dla użytkowników musimy ustawić specyficzne dla grup użytkowników prawa.

Jako, że przeważnie (w życiu codziennym) grupy lub określone osoby z grupy potrzebują danych innych grup niektóre osoby z konkretnych działów mogą należeć do kilku grup równocześnie.

Na dysku, który w serwerze przeznaczyliśmy dla potrzeb użytkowników tworzymy foldery o tych samych nazwach co grupy. W uprawnieniach NTFS (związanych z dostępem lokalnym) możemy w zasadzie pozostawić Uprawnienie wszyscy-pełna kontrola, gdyż dostęp lokalny do serwera został już ograniczony przy użyciu zasad grup, lecz ze względów bezpieczeństwa zastosujemy dla każdego katalogu także uprawnienia udziałów. Konfiguracja będzie w zasadzie identyczna dla wszystkich katalogów. Przykładowo dla katalogu Marketing z listy uprawnień usuniemy pozycję "wszyscy" a dodamy pozycję Marketing z uprawnieniem Pełna kontrola. W ten sposób tylko użytkownicy z grupy Marketing uzyskają dostęp do katalogu, jeśli zajdzie potrzeba dodania dostępu do katalogu dla członka innej grupy zwyczajnie dodamy tego pojedynczego użytkownika do odpowiedniej grupy.

Pozostaje do rozwiązania problem udziałów. Wszyscy użytkownicy będą korzystać z danych za pośrednictwem sieci. Należy skonfigurować dostęp do udziałów sieciowych. Uziały konfigurujemy w podobny sposób mianowicie udostępniamy katalogi opisane pokrótce powyżej do współdzielenia w sieci, dla każdego z nich przypisujemy uprawnienia pełnego dostępu tylko dla potrzebującej tego grupy i usuwamy wszystkie pozostałe uprawnienia.

Dodawanie użytkowników:

Start-> Programy-> narzędzia administracyjne -> Użytkownicy i komputery usługi Active Directory -> katalog users -> nowy -> użytkownik -> wpisujemy dane personalne i nazwę użytkownika -> podajemy hasło wstępne -> zaznaczamy użytkownik musi zmienić hasło przy następnym logowaniu.

Tworzenie grup

Użytkownicy i komputery usługi Active Directory -> katalog users -> nowy -> grupa -> podajemy nazwę i odpowiednio wybieramy opcje grupy lokalnej czy globalnej.

Dodawanie użytkowników do grup

Użytkownicy i komputery usługi ActiveDirectory -> users -> zaznaczmy grupę -> klikamy 2 razy -> Członkowie -> Dodaj-> wybieramy użytkownika -> klikamy dodaj -> klikamy ok

Przypisywanie uprawnień dostępu lokalnego do danych

Mój Komputer -> wybieramy odpowiedni katalog -> prawy przycisk -> właściwości -> zabezpieczenia -> klikamy grupę, której zabezpieczenia chcemy konfigurować i w dolnym oknie ustalamy uprawnienia.

Przypisywanie uprawnień do udziału

Mój komputer -> wybieramy dysk lub katalog -> prawy klawisz -> właściwości -> udostępnianie -> jeśli folder nie jest jeszcze udostępniony wybieramy udostępnij ten folder i podajemy nazwę, pod którą folder będzie udostępniany.-> klikamy uprawnienia -> ustalamy uprawnienia dla grup.

5. Szyfrowanie szczególnie istotnych plików

Dla potrzeb użytkowników dysponujących informacjami o najwyższym znaczeniu dla działania naszej firmy możemy zastosować szyfrowanie danych na dysku. Wymagany jest w tym celu wolumin sformatowany w systemie NTFS Dane zaszyfrowane przez użytkownika jego kluczem prywatnym są dostępne jedynie dla tego użytkownika oraz Agenta odzyskiwania zaszyfrowanych danych ( domyślnie administrator domeny). W celu implementacji szyfrowania danych należy poinstruować użytkownika aby dokonał szyfrowania całego katalogu, w którym będzie przechowywał dane szyfrowane. Instrukcja brzmi następująco zaloguj się, wybierz folder, który będzie wykorzystywany (przykładowo "tajny"),wybierz właściwości, wybierz zaawansowane, kliknij opcję "szyfruj zawartość aby zabezpieczyć dane".

Do szyfrowania poufnych danych można również użyć programu Secfile lub PGP do szyfrowania plików znajdujących się na dysku jak i poczty elektronicznej.

6. Zabezpieczenia transmisji wewnątrz sieci lokalnej IPSec

Sieć naszej firmy należy także zabezpieczyć przed możliwością podsłuchania danych transmitowanych w sieci lokalnej.

6.1. Podsłuch w sieci

Dane przesyłane w sieci lokalnej centrali firmy oraz w sieciach oddziałów narażone są na możliwość podsłuchania (z użyciem programów do sniffingu) przez któregoś z użytkowników sieci lokalnej .Pewnym rozwiązaniem jest w takim przypadku użycie w sieci lokalnej switchy zamiast hubów. Rozwiązanie takie utrudnia przechwytywanie pakietów w sieci lokalnej, nie eliminuje jednak całkowicie możliwości podsłuchu. Należy zatem wykorzystać technikę, która pozwoli na zaszyfrowanie wszystkich pakietów przesyłanych poprzez LAN. W sieci opartej na systemie Windows 2000 możliwe jest zastosowanie rozwiązania zapewniającego poufność i integralność danych. Tym rozwiązaniem jest protokół IPSec. IPSec pozwala zachować integralność (przy pomocy protokołu AH Advanced Header) i zabezpieczyć dane przez szyfrowanie (protokół ESP Encapsulating Security Payload). IPSec jest protokołem, który korzysta z kluczy publicznych w celu wymiany klucza tajnego sesji. W początkowej części sesji komputery uczestniczące w połączeniu uwierzytelniają się wzajemnie i korzystając z niesymetrycznych kluczy publiczny-prywatny wymieniają klucz tajny stosowany w ramach sesji. Klucz tajny jest metodą szyfrowania stosowaną przez uczestniczące w połączeniu komputery i znany jest tylko stronom połączenia. IPSec pozwala na zabezpieczanie połączeń tunelowanych oraz równorzędnych połączeń w sieci lokalnej. W systemie Windows 2000 Server zabezpieczenia IP IPSec konfiguruje się przy użyciu Zasad Grup. Można skonfigurować osobno każdy z komputerów do korzystania z IPSec, lub wykonać konfigurację w całej domenie czy też jednostce organizacyjnej. Ze względu na nakład administracyjny związany z konfigurowaniem każdego komputera z osobna zdecydowałem się na ustawienie zasad zabezpieczeń IP dla całej domeny. Zasady zabezpieczeń domeny skonfigurujemy tak aby dla wszystkich pakietów IP oraz ICMP była podejmowana próba zabezpieczenia transmisji. Takie ustawienie gwarantuje, że także starsze systemy operacyjne nie posiadające obsługi IPSec będą mogły komunikować się w sieci. Ponieważ nasze założenia są stosunkowo proste i oczywiste istnieje predefiniowana konfiguracja realizująca wymagania - "Serwer (żądaj zabezpieczeń)". Istnieją wprawdzie możliwości określenie bardziej ścisłych warunków, w których stosowne powinny być zabezpieczenie IPSec (przykładowo adresy źródłowe, docelowe, wykorzystywany port, protokół), lecz w naszym przypadku sensowne wydaje się zabezpieczenie całej komunikacji.

W celu skonfigurowania zabezpieczeń IPSec wybieramy START -> Programy -> Użytkownicy i komputery Usługi Active Directory -> klikamy prawym przyciskiem na nazwę domeny (firma.com) w lewej części konsoli MMC -> właściwości -> Zasady Grupy -> zaznaczamy Default Domain Policy -> przycisk edytuj -> Konfiguracja Komputera -> Ustawienia systemu windows -> Zasady zabezpieczeń IP -> wybieramy Server (Request security) -> prawy przycisk przypisz.

W ten sposób cały ruch IP oraz ICMP będzie zabezpieczany jeśli obie strony połączenia będą umożliwiały korzystanie z IPSec.

7. Zabezpieczenia komunikacji z pracownikami wykonującymi swoje zadania w siedzibach klientów

7.1 Infrastruktura klucza publicznego i certyfikaty

Ponieważ użytkownicy pracujący na zlecenie innych firm w ich siedzibach potrzebują kontaktu z centralą firmy poprzez e-mail oraz strony www, nie jest konieczne zestawianie połączenia VPN .Wystarczy zabezpieczyć komunikację e-mail oraz www korzystając z infrastruktury klucza publicznego. Uwierzytelniania osób pracujących w firmach klientów można dokonywać przy pomocy certyfikatów. Infrastruktura klucz publicznego jest metodą szyfrowania informacji wykorzystującą pary kluczy prywatny-publiczny w celu ochrony informacji. Klucz prywatny jest ściśle strzeżonym kluczem za pomocą, którego nadawca odszyfruje wiadomość. Klucz publiczny udostępniany jest nadawcom wiadomości w celu jej zaszyfrowania. Do odszyfrowania wiadomości zakodowanej przy użyciu konkretnego klucza publicznego może posłużyć jedynie odpowiadający mu klucz prywatny. Certyfikat jest to natomiast elektroniczna forma poświadczenia związku klucza publicznego jednostki i jej danych (przykładowo personalnych). Certyfikaty dają pewność, że komputer, który przesłał nam klucz publiczny, który zamierzamy użyć w transmisji jest rzeczywiście tym za kogo się podaje.

Infrastruktura klucza publicznego wraz z certyfikatami może posłużyć w naszej sieci realizacji zadań związanych z szyfrowaniem informacji pochodzących od pracowników zdalnych (w firmach klientów) oraz uwierzytelnianiem tych pracowników przy próbie dostępu do danych na firmowych stronach www. Infrastrukturę klucza publicznego oraz certyfikaty wykorzystamy także do szyfrowania wiadomości pocztowych

W celu lepszego zabezpieczenia poczty można użyć również programu Secur info mail lub PGP

Zakładamy, że do komunikacji z centralą firmy pracownicy firmy będą korzystać z firmowych notebookow, które jeszcze na terenie przedsiębiorstwa zostaną tak skonfigurowane aby każdy z nich posiadał zainstalowany certyfikat.( W przypadku korzystania przez nich z komputerów w firmie kontrahenta proces wymagałby dodatkowo wyeksportowania certyfikatów, kluczy publicznych i prywatnych na dyskietkę, instalacje na komputerze w firmie kontrahenta, proces ten rodzi jednak zagrożenia co do bezpieczeństwa. Wymagane jest przenoszenie klucza prywatnego na dyskietce oraz pozostawienie kluczy na komputerze, który nie znajduje się formalnie pod naszym nadzorem).

W celu uzyskania certyfikatów i kluczy publiczny/prywatny pracowników oddelegowanych od pracy w innych firmach wykonujemy poniższe czynności.

1.Zainstalowanie urzędu certyfikacji w sieci naszej firmy. Instalację wykonujemy na kontrolerze domeny.

Instalowanie urzędu certyfikacji- Panel Sterowania -> Dodaj Usuń programy -> Usługi Certyfikatów -> Usługi Certyfikatów CA -> przechodzimy dalej i wybieramy główny urząd certyfikacji przedsiębiorstwa-> podajemy dane dotyczące firmy.

2.Utworzenie i instalacja certyfikatów na komputerach użytkowników.

Każdy użytkownik zdalny może pobrać i zainstalować swój certyfikat korzystając ze strony http://nazwaserwerazurzędemcertyfikacji/CertSrv. Po wybraniu certyfikatu użytkownika automatycznie tworzony jest certyfikat i następuje jego instalacja.

7.2 Komunikacja przy użyciu serwisu www

W celu zabezpieczenia komunikacji przy użyciu stron WWW zastosujemy protokół SSL. Korzysta on z kluczy publicznych serwera oraz klienta w celu uwierzytelnienia oraz wypracowania klucza szyfrowania dla sesji. Można również wykorzystać certyfikaty do uwierzytelniania użytkowników.

1.Aby umożliwić połączenia SSL musimy zainstalować certyfikat serwera www.

START -> Programy -> Narzędzia administracyjne -> Menedżer usług internetowych -> Domyślna witryna sieci web -> prawy klawisz -> właściwości -> wybieramy panel zabezpieczenie katalogów -> Certyfikat serwera i wybieramy opcje utworzenia certyfikatu -> określamy, że żądanie ma być wysłane bezzwłocznie -> podajemy informacje dla potrzeb certyfikatu dotyczące serwera www.

2. Aby połączenia SSL były jedynymi możliwymi połączeniami do danej strony www Menedżer usług internetowych -> Domyślna witryna sieci web -> prawy -> właściwości -> panel zabezpieczenie katalogów -> W podgrupie bezpieczna komunikacja wybieramy Edytuj -> zaznaczamy wymagaj bezpiecznego połączenia SSL

W ten sposób nawiązywane połączenia będą chronione z użyciem SLL.

Możemy zastosować metodę uwierzytelniania użytkownika przy użyciu certyfikatu, wymaga to jednak nakładu administracyjnego związanego z mapowaniem certyfikatów do kont użytkowników. Stosujemy więc uwierzytelnianie standardowe, dbając aby hasło nie było przesyłane tekstem otwartym.

Przechodzimy do wykorzystywanej w poprzednich podpunktach zakładki Zabezpieczenia katalogów. Wybieramy Edytuj w grupie określającej dostęp anonimowy i uwierzytelnianie. Odznaczamy dostęp anonimowy, wybieramy uwierzytelnianie skrócone (wymaga IE 5 i nie może odbywać się przez serwer Proxy). W przypadku uwierzytelniania skróconego hasło nie jest przesyłane otwartym tekstem.

7.3 Konfiguracja poczty elektronicznej

Komputery użytkowników należy skonfigurować tak aby poczta wysyłana była zarówno szyfrowana jak i podpisywana cyfrowo. Wykonamy konfigurację w programie Outlook Express na komputerach pracowników.

Outlook Express -> Narzędzia -> konta-> poczta -> zabezpieczenia -> certyfikat podpisujący -> wybieramy stosowny certyfikat, certyfikat szyfrujący -> wybieramy stosowny certyfikat.

8.Podstawowe zabezpieczenie przed atakiem z zewnątrz

8.1 Filtrowanie pakietów.

Aby zabezpieczyć sieć lokalną centrali i biur wydziałowych można zastosować routing z filtracją pakietów oraz NAT-owanie. Komputer z systemem Windows 2000 Server będzie pełnił rolę routera dostępowego do sieci Internet w każdym z biur. Komputery te muszą być wyposażone w kartę sieciową i kartę WAN. Nat-owanie będzie umożliwiać komputerom z adresem prywatnym łączenie się z siecią publiczną . Adresy lokalne nie są widoczne w sieci Internet, jedynym komputerem komunikującym się z siecią publiczną jest komputer z systemem Windows 2000 Server. Uniemożliwi to komputerom z sieci Internet bezpośrednią komunikację z komputerami wewnątrz LAN. Możemy dodatkowo zastosować filtr wejściowy na interfejsie podłączonym do Internetu, który zabrania komunikacji z komputerami w sieci prywatnej.

Zakładamy, że nasza sieć prywatna wykorzystuje adres 192.168.1.0 z maską 255.255.255.0. Interfejs podłączony do publicznej sieci ma przyznany adres 157.157.1.1 (przykładowo).

Musimy skonfigurować oba interfejsy,

dodać statyczną trasę przekazującą cały ruch z interfejsu prywatnego na publiczny,

dodać do protokołów routingu natowanie,

dodać do interfejsów obsługujących nat-owanie interfejs publiczny i prywatny.

W tym celu otwieramy przystawkę routing i dostęp zdalny. Start -> programy -> narzędzia administracyjne -> routing i dostęp zdalny -> klikamy prawym przyciskiem na nazwę komputera -> wybieramy konfiguruj routing i dostęp zdalny ->wybieramy serwer dostępu VPN

Po uaktywnieniu routingu i dostepu zdalnego rozwijamy menu w przystawce routing i dostęp zdalny, wybieramy routing -> ogólne -> dodaj protokół -> usługa NAT. Podajemy interfejs sieci publicznej (nasz interfejs WAN), oraz interfejs sieci prywatnej nasz interfejs LAN.

Dodajemy trasę statyczną -> wybieramy routing -> ogólne -> trasy statyczne -> prawy przycisk -> utwórz nowa trasę statyczną -> jako sieć docelową podajemy 0.0.0.0 jako maskę 0.0.0.0 deklarujemy nasz interfejs WAN jako ten, na który mają być wysyłane pakiety.

Dodajemy interfejsy do usługi NAT.

Routing -> translacja adresów NAT -> dodaj interfejs -> dodajemy kolejno interfejsy LAN i WAN.

Dodatkowo w celu zabezpieczenia ( niejako podwójnego ) możemy dodać filtr wejściowy na interfejs LAN. W filtrze tym możemy zabronić przepuszczania pakietów przez router jeśli adresem docelowym jest adres z naszej sieci lokalnej.(w zasadzie jest mało prawdopodobne aby taki pakiet dotarł na interfejs naszego routera bo adresy z naszej sieci lokalnej są nierutowalne, ale jeśli chodzi o zagadnienia bezpieczeństwa można spotkać ludzi, którzy robią rzeczy wydawałoby się niemożliwe :) ).

Metoda dodawania filtru.

Routing i dostęp zdalny -> routing -> interfejsy -> wybieramy nasz interfejs LAN -> właściwości -> filtry -> wejściowe - > wybieramy opcję, która zabrania całej komunikacji oprócz wymienionych reguł.

9. Zabezpieczenie komunikacji między oddziałami lokalnymi

firmy a centralą VPN

Zgodnie z założeniami centrala firmy i oddziały terenowe powinny posiadać stałe połączenie między istniejącymi sieciami lokalnymi. Ze względu na koszty mało prawdopodobne jest zastosowanie telekomunikacyjnych łącz dzierżawionych stosowanych między firmami. Najlepszym rozwiązaniem wydaje się komunikacja z wykorzystaniem Internetu. Wymagane jest jednak zabezpieczenie transmisji między sieciami. W tym celu zaimplementujemy połączenia korzystające z rozwiązań VPN (Virtual Private Network). VPN-y umożliwiają tworzenie bezpiecznych połączeń między oddalonymi sieciami lokalnymi z wykorzystaniem Internetu. Ponieważ połączenia mogą być inicjowane w kierunku do centrali lub od centrali należy zastosować połączenia VPN o charakterze dwukierunkowym. Zakładamy, że w każdym biurze lokalnym znajduje się komputer z systemem Windows 2000 Server. Konfigurowane będą połączenia typu router-router. Funkcje routera pełnić będzie właśnie system 2000 Server. Wykorzystanie VPN-ów da nam wrażenie posiadania prywatnej sieci WAN przy stosunkowo niskim koszcie wdrożenia.

9.1 Konfiguracja

Należy skonfigurować serwer w centrali firmy oraz serwery w biurach lokalnych. Możliwości VPN obsługiwane są przez funkcje routingu i dostępu zdalnego Windows 2000 Server.

9.2 Konfiguracja wstępna

Uruchamiamy routing i dostęp zdalny (już zrobione w poprzednim punkcie na temat filtrowania i NAT) (Start -> Programy -> Narzędzia administracyjne -> routing i dostęp zdalny -> prawy przycisk na nazwie komputera-> włącz routing i dostęp zdalny -> VPN)

Tworzymy statyczny wpis w tablicy routingu kierujący wszystkie pakiety z sieci lokalnej na interfejs WAN (Routing i dostęp zdalny -> routing -> trasy statyczne -> dodaj adres docelowy 0.0.0.0 maska 0.0.0.0 interfejs WAN)

Ustawiamy numer IP karty WAN dla interfejsów VPN (Routing i dostęp zdalny -> Porty -> prawy przycisk -> właściwości -> wybieramy port VPN, który nas interesuje -> konfiguruj -> Numer telefonu dla tego urządzenia podajemy adres IP naszej karty WAN.)

Ustawiamy zasady dostępu zdalnego przez usunięcie wpisu zezwól jeśli konto posiada uprawnienie dostępu zdalnego.

9.3 Konfiguracja dla biur wydziałowych

Dodajemy konto użytkownika VPN_CENTRALA (użytkownicy i komputery Active Directory) w grupie VPN_ROUTER

Definiujemy hasło dla tego konta i wybieramy opcje kontrolowania dostępu

zdalnego przez zasady dostępu zdalnego z RRAS (routing i dostęp zdalny)

Ustawiamy zasadę zabezpieczeń dla biur wydziałowych ( w opcjach routing i dostęp zdalny -> zasady dostępu zdalnego):

• Nazwa zasady: VPN Routers.

• NAS-Port-Type Virtual (VPN)

• Windows-Groups VPN_Routers

• Called-Station-ID adres interfejsu WAN

Pozwala to na przyjęcie połączenia tylko gdy połączenie jest typu VPN oraz gdy konto wywołujące połączenie jest z grupy VPN_ROUTERS, połączenie musi ponadto nadejść z interfejsu WAN.

Utworzenie statycznej puli adresów dla klientów VPN. Adresy z tej puli będą przypisywane klientom do wykorzystania w sieci lokalnej firmy. (Routing i dostęp zdalny -> właściwości serwera -> karta IP -> statyczna pula adresów -> dodajemy zakres adresów).

9.4 Konfiguracja dla biura centralnego

Tworzymy konta VPN_BIURO1, VPN_BIURO2 itd w grupie VPN_ROUTER

Definiujemy hasła dla tych kont i wybieramy opcje kontrolowania dostępu zdalnego przez zasady dostępu zdalnego z RRAS (routing i dostęp zdalny)

Ustawiamy zasadę zabezpieczeń dla biura centralnego:

• Nazwa zasady: VPN Routers.

• NAS-Port-Type Virtual (VPN)

• Windows-Groups VPN_Routers

• Called-Station-ID adres interfejsu WAN

9.5 Utworzenie statycznej puli adresów dla klientów VPN. Adresy z tej puli będą przypisywane klientom do wykorzystania w sieci lokalnej firmy.

Tworzymy interfejsy wybierania numerów na żądanie dla każdego z biur wydziałowych osobny. Interfejsy będą korzystać z protokołu PPTP do szyfrowania danych (Routing i dostęp zdalny ->interfejsy ->nowy ->interfejs wybierania numerów na żądanie)

Ustawiamy:

• Nazwa interfejsu

VPN_BiuroX

(X numer)

• Typ połączenia

Połącz używając VPN (VPN)

• Typ VPN

PPTP

• Adres docelowy

IP routera Windows 2000 Server w sieci biura oddziałowego

Zaznaczamy aby pakiety były routowane po tym interfejsie

• Użytkownik połączenia i hasło

Użytkownik: VPN_CENTRALA

Domena: firma.com

Hasło: **********

Zmieniamy typ połączenia na stałe

Dla każdego biura oddziałowego dodajemy statyczny wpis w tabeli routingu:

1.Interfejs: Vpn_BiuroX

2.Adres docelowy: taki jak w sieci lokalnej biura oddziałowego.

W podobny sposób tworzymy interfejsy wybierania numerów na żądanie w biurach oddziałowych. Jako nazwę podajemy VPN_CENTRALA, użytkownik to VPN_BIUROX. Dla każdego interfejsu musimy też dodać odpowiedni wpis w tablicy routingu.

10. Zakończenie

Jak mówi podstawowa zasada zabezpieczania sieci „Bezpieczna sieć to ta która nie jest podłączona do sieci publicznej, nie ma w niej użytkowników i najlepiej wyłączyć wszystkie komputery”.

1

---