Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačních technologií Student Vedoucí bakalářské práce Oponent bakalářské práce : Michal Hendrich : RNDr. Radomír Palovský, CSc. : PhDr. Otakar Pinkas TÉMA BAKALÁŘSKÉ PRÁCE Nastavení a zabezpečení firemní bezdrátové sítě 1
Zadání bakalářské práce Autor práce: Studijní program: Program: Michal Hendrich Aplikovaná informatika Informatika Název tématu: Nastavení a zabezpečení firemní bezdrátové sítě Rozsah práce: 52 Zásady pro zpracování: 1. Prostudovat technologii tvorby bezdrátových sítí. 2. Vytvořit návrh a způsob zabezpečení včetně procesního fungování sítě. 3. Vyzkoušení modelu víceúrovňového zabezpečení ve firemní síti. Seznam odborné literatury: 1. Dostálek L a Kabelová A.: Velký průvodce protokoly TCP/IP a systémem DNS; Computer Press Brno 2008, ISBN 978-80-251-2236-5 2. Rodryčová D a Staša P.: Bezpečnost informací jako podmínka prosperity firmy; Grada publishing 2000, ISBN 80-7169-144-5 3. Northcutt S.: Bezpečnost počítačových sítí; Computer Press Brno 2005, ISBN 80-251-0697-7 4. Bigelow S.: Mistrovství v počítačových sítích; Computer Press Brno 2004, ISBN 80-251- 0178-9 5. Chapman D. and Zwicky E.: Principy budování a udržování FIREWALLY; Computer Press Brno 2007, ISBN 80-7226-051-0 6. Zandl P.: Wi-Fi praktický průvodce; Computer Press Brno 2003, ISBN 80-7226-632-2 Datum zadání bakalářské práce: září 2009 Termín odevzdání bakalářské práce: prosinec 2010 Michal Hendrich Řešitel Ing. Vilém Sklenák, CSc Vedoucí ústavu RNDr. Radomír Palovský, CSc Vedoucí práce prof. Ing. Jan Seger, CSs Děkan FIS VŠE 2
Rok: 2010 Prohlášení Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a že jsem uvedl všechny použité prameny a literaturu, ze kterých jsem čerpal. V Praze dne 8. 12. 2010... podpis 3
Poděkování Děkuji panu RNDr. Radomíru Palovskému, CSc za vedení práce, odbornou pomoc a poskytnutí cenných rad při zpracování tohoto tématu. Dále bych chtěl poděkovat svým přátelům, studentům informatiky, za praktické rady týkajících se počítačových sítí, jejich připomínky a komentáře. A velké díky především rodičům a přátelům za jejich nezměrnou podporu a důvěru během mého studia. 4
Abstrakt česky Tato práce pojednává o zabezpečení bezdrátové sítě v praxi. A to o zabezpečení na úrovni přístupových bodů, zabezpečení na aplikační vrstvě, zabezpečení datového uložiště a nakonec zabezpečení proti vlivům okolním sítím a internetu. Součástí je praktická část, kde je popsána reálná instalace RADIUS serveru. Tento RADIUS server je následně propojen s enterprise Wi-Fi řešením, které se nazývá UniFi. V poslední řadě je vytvořen HTTP proxy, který využívá uživatelské účty vytvořené na RADIUS serveru. Na HTTP proxy jsou nadefinována přístupová práva, a tím je docíleno rozdílných přístupů do okolních sítí pro různé uživatele nebo uživatelské skupiny. Abstract english The work discusses wireless security in practice. And the security at access points, application-layer security, security data storage and protection against weather finally surrounding networks and the Internet. Part of the practical part, which describes the real install a RADIUS server. The RADIUS server is then connected to the enterprise Wi-Fi solution, which is called UniFi. Finally, it created an HTTP proxy that uses the user accounts created on the RADIUS server. The HTTP proxy access rights are defined, and this is achieved by different approaches to neighboring networks for different users or user groups. 5
Obsah Prohlášení... 3 Poděkování... 4 Abstrakt česky... 5 Abstract english... 5 Obsah... 6 1. Nastavení a zabezpečení firemní bezdrátové sítě... 8 2. Druhy zabezpečení bezdrátových sítí... 10 2.1. WEP (Wired Eguivalent Privacy)... 10 2.2. Autentizace procedura přístupu do sítě... 11 2.2.1. Open systém autentizace... 11 2.2.2. Shared key autentizace... 12 2.3. Test prolomení WEP klíče... 13 2.4. 802.11i nový bezpečnostní standard... 13 2.4.1. TKIP (Tempotary Key Integrity Protocol)... 13 2.4.2. CCMP (Cipher Block Chaining Message Autjentication Code Protocol)... 14 2.5. WPA (WPA2) Autentizace PSK (pre-share key)... 14 2.6. WPA (WPA2) Autentizace EAP (Extensible Authentication Protocol)... 14 2.6.1. Typy ověřování... 15 2.6.2. Ověřovací protokoly... 16 2.7. Zpráva z médií: Prolomení WPA za 17 dolarů... 17 2.8. WPA2 (Wi-Fi Protected Access verze 2)... 17 2.9. MAC filter... 17 3. Externí ověřovací systém... 18 3.1. RADIUS... 18 3.2. RADIUS server možnosti... 19 3.2.1. Microsoft Windows Server... 19 3.2.2. Komerční produkty (stand alone aplikace)... 19 3.2.3. Open source aplikace... 21 6
4. Zabezpečení uvnitř sítě... 21 5. Zabezpečení uložiště dat... 22 6. Firewall... 23 6.1. Paketový filtr... 23 6.1.1. Standardní filtry... 24 6.1.2. Rozšířené filtry... 24 6.1.3. Dynamické filtry... 24 6.1.4. Reflexní filtry... 24 6.2. Stavový firewall... 25 6.3. Aplikační proxy... 25 6.3.1. Komerční aplikace HTTP proxy... 27 6.3.2. Nekomerční aplikace HTTP proxy... 28 7. Instalace služby IAS (Internet Authentication Service)... 28 8. Nastavení bezdrátových zařízení... 36 8.1. Instalace managementu UniFI Controller... 37 8.1.1. Systémové požadavky... 37 8.2. Konfigurace podnikové sítě pomocí UniFi... 38 8.3. Nastavení sítě v UniFi Controlleru... 40 8.3.1. Settings > System... 40 8.3.2. Settings > Wireless Networks... 40 8.3.3. Settings > Guest Control... 42 9. Nastavení HTTP proxy... 43 9.1. CCPROXY základní funkce... 43 9.2. Nastavení uživatelů a skupin uživatelů... 43 9.3. Web filter... 45 10. Závěr... 46 11. Použitá literatura... 48 12. Seznam obrázků... 51 13. Seznam tabulek... 52 7
1. Nastavení a zabezpečení firemní bezdrátové sítě Dnes se s bezdrátovými sítěmi setkáváme běžně a dělíme je na volně přístupné a zabezpečené. Volně přístupné jsou označovány jako free hotspoty (např.: informační služba města) a zabezpečení není vyžadováno. Kdežto sítě, které nejsou volně k dispozici, ale jen pro uživatele, kteří mají právo do dané sítě přistupovat. Řešení se nabízí mnoho a já jsem popsal výčet možných řešení a okomentoval, kde se dá či nedá využít, vycházel jsem především z praxe. Za cíl jsem si dal nejen popsat různé možnosti zabezpečení, ale také reálně nakonfigurovat celkové zabezpečení sítě, které se využije pro firemní prostředí. Ale nejdříve jsem celkovou síť rozdělil na různé druhy odvětví, kde je vyžadováno zabezpečení. Tyto odvětví jsou znázorněny na Obrázku 1. Prvním odvětvím je zabezpečení bezdrátové sítě až na úroveň přístupového bodu, druhým je zabezpečení na aplikační vrstvě, třetím je zabezpečení datového uložiště dat a posledním čtvrtým je zabezpečení proti vlivům okolních sítí a internetu. Všechny tyto oblasti jsem určil na základě praxe a ve většině případů se jedná o rozdělení ve firemní síti. Důvodem, proč tyto oblasti chci řešit je ten, že většina správců sítě se na firemní síť nekouká ze všech hledisek, jak jsem vytyčil, ale jen na nějaké a ostatní jsou opomíjeny. Co se týče praktické části, tak za prvé chci nainstalovat a nakonfigurovat RADIUS 1 server, který ověřuje jednotlivé uživatele v síti jménem a heslem. Toto budu předvádět na stávajícím serveru Microsoft Windows Server 2003, protože server není zcela využit a jsou na něm vytvořeny uživatelské účty jednotlivých zaměstnanců. Na tomto serveru doinstaluji službu IAS 2, kterou podporuje stávající Windows Server 2003 a následně nakonfiguruji ověřovací službu RADIUS. Tento RADIUS server potřebuji propojit s bezdrátovými prvky, které se umístí ve firmě do různých místností a tak pokryjí celý podnik. Využiji řešení UniFi Enterprise od společnosti Ubiquity, která využije nainstalovaný a nakonfigurovaný RADIUS server, protože dbám na jednoduchost prvotního nastavení a zároveň na jednoduché rozšíření o konfiguraci budoucích bezdrátových prvků, které se mohou přidat do sítě. V poslední řadě ukážu konfiguraci HTTP proxy serveru, pro který se využijí uživatelské účty zaměstnanců firmy. A kladu si za cíl na HTTP proxy serveru nadefinovat jednotlivá přístupová práva pro všechny uživatele či hromadné skupiny uživatelů. Důvod je ten, že chci omezovat některé zaměstnance pro přístup mimo firemní síť na aplikační úrovni. 1 Remote Authentication Dial In User Service je protokol používaný pro přístup k síti [1]. 2 Internet Authentication Service je implementace od Microsoftu, která provádí vzdálenou autentizaci a autorizaci uživatelů [2]. 8
Obrázek 1: Schéma bezdrátové podnikové sítě Schéma na obrázku 1, jsem vytvořil na základě praxe, kterou mám. Všechna tato odvětví jsou téměř v každé střední a velké firmě a je potřeba žádné neopomíjet. Červeně označený obdélník znázorňuje zabezpečení bezdrátové sítě mezi přístupovými body (zprostředkovávají bezdrátový přenos) a uživateli. Toto zabezpečení budu řešit pomocí UniFi Enterprise 3. Žlutě označený prostor znázorňuje zabezpečení uvnitř sítě. Připojení uživatelé v síti se sice musí nějakým způsobem připojit do sítě, ale potom je důležité i zabezpečení v dané síti. Je hodně případů, že uživatel hoden připojení do sítě zneužil malého či žádného zabezpečení uvnitř sítě jiného uživatele, který měl také právo k připojení k dané síti. Toto zabezpečení budu řešit za prvé šifrováním komunikace s RADIUS serverem pomocí MS-CHAPv2 4 a za druhé bezpečnost odesílaných dat na aplikační úrovni a to šifrovanými protokoly (např.: HTTPS 5 ). Modrý prostor nám znázorňuje zabezpečení uložiště dat (soubory, dokumenty), který ve firemním prostředí je taky velmi důležitý. K datům by měl mít přístup pouze jeho vlastník nebo skupina vlastníků. Zase se využijí uživatelské účty zaměstnanců pro přístup do jednotlivých složek na datovém uložišti. Toto uložiště je potřeba také šifrovat resp. přístup na toto uložiště. 3 UniFi Enteprise je bezdrátové řešení od americké společnosti Ubiquity [3]. 4 MS-CHAPv2 protokol od společnosti Microsoft [4]. 5 HyperText Transfer Protocol Secure je zabezpečená verze původního HTTP [5]. 9
Zelený prostor nám znázorňuje zabezpečení sítě a vlivu internetu či práva přístupu jednotlivých uživatelů k službám, které jsou mimo danou síť a to v internetu. Zde na aplikační vrstvě se budu snažit vytvořit práva jednotlivých uživatelů k přístupu do okolních sítí či internetu. 2. Druhy zabezpečení bezdrátových sítí Touto kapitolou si přiblížíme různé druhy zabezpečení bezdrátových sítí, které běžně podporují nejrůznější bezdrátová zařízení. Toto odvětví zabezpečení je znázorněno na obrázku 1 červeným obdélníkem. Obrázek 2 ukazuje, různé možnosti zabezpečení jednoho z bezdrátových přístupových bodů sítě. Obrázek 2: Výčet možností zabezpečení bezdrátové sítě 2.1. WEP (Wired Eguivalent Privacy) WEP (Wired Equivalent Privacy) je prvotním zabezpečením bezdrátových sítí (WI-FI) a je součástí standardu IEEE802.11 z roku 1999. WEP funguje na symetrickém principu, kdy se pro šifrování a dešifrování používá stejný algoritmus i totožný statický klíč. Nejčastější a nejslabší 40 bitový klíč pro ověření totožnosti (autentizaci), je stejný pro všechny uživatele dané sítě (sdílený klíč) a klienti jej využívají spolu se svou adresou MAC 6 pro autentizaci vůči přístupovému bodu. Ve skutečnosti se tedy ověřuje totožnost síťové karty, nikoli samotného uživatele. Autentizace ve WEP pracuje pouze jednostranně, nikoli vzájemně. Šifrování přenášených dat se provádí 64 bitovým klíčem, který je složen z uživatelského klíče a dynamicky se měnícího vektoru IV (Initialization Vector) o délce 24 bitů. IV se posílá v otevřené formě a mění se s každým paketem, takže výsledná šifra je jedinečná pro každý jednotlivý paket. WEP používá šifrovací algoritmus RC4 7. V závislosti na výrobci může nabízet silnější zabezpečení ve formě 128 bitového šifrování (sdílený klíč má délku 104 bitů, vektor poté 24 bitů) a některá novější zařízení nabízejí ještě 152 bitové a 256 bitové šifrování, závisí na výrobci konkrétních bezdrátových zařízení. Vzniká zde problém, když zařízení na jedné straně je novější a je tam nastaveno silnější šifrování (např. 256 bitový), tak starší zařízení toto nepodporuje a tím pádem se nemůže připojit. 6 Media Access Control je jedinečný 48 bitový identifikátor sítových rozhraní. 7 Šifra RC4 vytvořila společnost RSA, jedná se o identickou šifru, která se používá například v SSL (secure socket layer), které je základem např. protokolu HTTPS. 10
Tabulka 1: Délky klíčů ASCII a HEX ASCII 8 podoba HEX 9 podoba WEP 64 5 znaků 10 hex číslic WEP 128 13 znaků 26 hex číslic WEP 152 16 znaků 32 hex číslic WEP 256 29 znaků 58 hex číslic WEP byl prolomen v roce 2000 a označen za velmi slabé zabezpečení bezdrátové sítě. Prolomení šifry trvá okolo 10 minut a to v závislosti na procesoru stroje, což je velmi málo a také závisí na síle hesla. WEP byl nahrazen lepším zabezpečením viz. další kapitoly, ale je dnes nepoužívanějším šifrováním na Wi-Fi. 2.2. Autentizace procedura přístupu do sítě Další podstatnou součástí bezpečnosti je procedura přístupu do sítě neboli autentizace uživatele. Protože vzduch (prostor) nelze nějakým způsobem pevně uzavřít jako u drátových sítí, kde se uživatel musí připojit někde v budově, tak je potřeba autentizace uživatelů. 802.11 udává dvě metody pro autentizaci: open system autentizace shared key autentizace Autentizace v 802.11 je vytvořena jako jednosměrná procedura. Stanice neboli uživatel si musí o autentizaci jednoduše sám zažádat, ale samotný přístupový bod se vůči uživatelům autentizovat nemusí. Pokud by někdo vytvořil stejný přístupový bod (název SSID 10 a MAC adresu), tak nevíme, zda je to přístupový bod, ke kterému vážně chceme přistupovat a pokud se budeme chtít připojit, tak nás to připojí na přístupový bod, který má lepší signál. 2.2.1. Open systém autentizace Nelze úplně přesně říci, že se jedná o autentizaci. Přístupový bod, na který se chceme připojit, je identifikovaný na základě SSID a uživatel se po vyhledání tohoto bodu může připojit. Odešle své údaje a přístupový bod jej na základě toho příjme a umožní přístup do sítě. Doporučuje se vypínat SSID v případech, kdy nechceme o vysílání bezdrátového zařízení dát vědět. Pak není možné najít 8 ASCII je anglická zkratka pro American Standard Code for Information Interchange ( americký standardní kód pro výměnu informací ). V podstatě jde o kódovou tabulku, která definuje znaky anglické abecedy, a jiné znaky používané v informatice. Jde o historicky nejúspěšnější znakovou sadu, z které vychází většina současných standardů pro kódování textu přinejmenším v euro-americké zóně [6]. 9 Šestnáctková soustava (též hexadecimální soustava) je číselná soustava základu 16. Znaky jsou 0-9, A-F. 10 SSID (Service Ser Identifer) je jedinečný identifikátor bezdrátové sítě (Wi-Fi). 11
přístupový bod, který vysílá. Viditelné SSID necháváme pro uživatele, kteří se mají připojovat na přístupový bod např. firemní bezdrátová síť v zasedací místnosti. Vypnuté SSID se nechává u páteřních bezdrátových spojů, protože nechceme, aby někdo jiný se mohl pokoušet na ně připojovat. Každopádně neviditelnost SSID platí pouze u výchozích programů, které vyhledávají sítě např. u Microsoft Windows 7. A právě existují takové aplikace jako je např. NetStumbler, který umí vyhledat sítě bez SSID jen s MAC adresou. Na následujícím obrázku je vidět program NetStumbler při naskenování prostoru, kde jsou nejen naleznuté sítě s SSID, ale i bez jen s MAC adresou. Síť bez SSID Obrázek 3: Network Stumbler skenování prostoru 2.2.2. Shared key autentizace Tento způsob autentizace je zase definován v 802.11 a je spojen s WEP klíčem. Uživatel, který přistupuje do sítě se sdílenou autentizací, tak pošle požadavek do bezdrátové sítě a ta vyžaduje sdílený klíč, který zašle uživatel do sítě a síť jej vyhodnotí. Pokud je sdílený klíč správný, zašle potvrzující odpověď a umožní přístup do sítě uživateli. Proces sdílení autentizace je znázorněn na následujícím obrázku. Obrázek 4: Autentizace sdíleným klíčem (shared-key) 12
2.3. Test prolomení WEP klíče Říká se, že prolomení WEP klíče je velmi jednoduché a rychlé. Samozřejmě, že je vyvinuto několik aplikací, které danou sít za krátký čas rozšifrují. Já jsem to vyzkoušel s aplikací jménem Commview for WiFi, která analyzuje pakety ve vzduchu. Aplikaci se spustí a je potřeba se nejdříve podívat na podporované adaptéry, které používáme (např.: Intel 3945ABG). Po té analyzuju celý kanál, ve kterém vysílá síť, kterou chci rozluštit. Potřebuju zachytit minimálně 100 000 paketů, protože budu celkově analyzovat všechny pakety, kde je potřeba zjistit algoritmus, který se opakuje a z toho vydedukovat WEP klíč. Poté si uložím celý log soubor se zachycenými pakety. Pro analýzu log souboru potřebuju další nástroj. Nástroj jsem vybral jeden z nejznámějších a to je např. Aircrack 11, který v log souboru nalezne klíč, který se snažím rozluštit. Obrázek 5: Aircrack GUI Tento proces na WEP 64 zabral celkem 10 minut, což je akceptovatelné. 2.4. 802.11i nový bezpečnostní standard Nový bezpečnostní standard s označením 802.11i 12, který byl schválen v červnu roku 2004 a opravuje všechny chyby původního zabezpečení v 802.11 WEP. Rozděluje se do dvou hlavních kategorií. 2.4.1. TKIP (Tempotary Key Integrity Protocol) Je to krátkodobé řešení, které řeší primárně všechny nedostatky původního WEP. TKIP 13 je nový protokol pro šifrování dynamickým klíčem, který se mění každých 10 000 paketů. Důležitým faktorem je, že TKIP může být použito se starými zařízeními pracující s 802.11, stačilo jenom aktualizovat nový firmware. Standardně je používán 128 bitový klíč. Toto krátkodobé řešení dostalo pracovní název WPA (Wi-Fi Protected Access). U Microsoft Windows XP byla podpora WPA od počátku roku 2003. Tento standard nelze používat v podnikovém prostředí, protože toto zabezpečení je již prolomitelné. 11 Nástroj pro analýzu paketů [7]. 12 802.11i je nový a kompletní bezpečnostní standard [8]. 13 Tempotary Key Integrity Protokol krátkodobé řešení zabezpečení [9]. 13
2.4.2. CCMP (Cipher Block Chaining Message Autjentication Code Protocol) Nový protokol CCMP, který je vytvořen od základů a neopravuje žádné původní chyby. Používá AES 14 (Advanced Encryption Standard) jako šifrovací algoritmus, a protože je náročný na procesor zařízení než původní RC4, tak jej lze použít akorát u nových zařízení. Toto nové řešení dostalo pracovní označení WPA2 (Wi-Fi Protected Access 2) a je to kompletní konečná implementace 802.11i. Tato kompletní implementace je zatím neprolomitelná a tudíž se dá využít pro podniková řešení. 2.5. WPA (WPA2) Autentizace PSK (pre-share key) Pre-Share key znamená předsdílený klíč. Pokud nechci řešit ověřování pomocí přihlašovacích údajů (například ověřovacím serverem), tak vyberu WPA(2)-PSK, kde nastavím heslo. Doporučuje se nastavovat silné heslo, které se skládá z čísel, velkých, malých písmen či použít nějaké jiné znaky, protože programy, které mají obsáhlé slovníky a mohou hrubou silou heslo rozluštit. PSK neřeší identifikaci uživatelů do sítě, ale pouze připojení do sítě. Takže pokud někdo dostane heslo, tak se může do sítě připojit a nelze zjistit, o koho se jedná, což je velká nevýhoda např. při různých hackerských útokách. Obrázek 6: Autentifikace PSK - jen klíč 2.6. WPA (WPA2) Autentizace EAP (Extensible Authentication Protocol) Nedá se říci, že se jedná o konkrétní typ autentizace, ale o rámec ověřování. EAP 15 poskytuje společné funkce pro jednotlivé metody, kterých je asi čtyřicet jako například EAP-TLS 16 (Transport Layer Security), EAP-MD5 17 (obsahuje hashovaní funkci), EAP-TTLS 18 (Tunneled Transport Layer Security), EAP-SIM 19 (Subcriber Identity Module), PEAP 20 (Protected Extensible Authentication 14 AES je velmi silná šifra a nahradila zastaralou a prolomenou šifru DES (Data Encryption Standard). Využívá symetrického klíče, což znamená, že stejný klíč je použit pro šifrování i dešifrování. Délka klíče se může použít 128 bitů, 192 bitů i 256 bitů. Standard šifruje data postupně v blocích s pevnou délkou 128 bitů. Šifra je velmi rychlá, což je velmi pozitivní. V dnešní době není stoprocentně prokázáno, že by někdo zcela šifru rozluštil [10]. 15 Extensible Autjentication Protocol ověřovací protokol [11]. 16 EAP-TLS metoda EAP rozšířená o TLS [12]. 17 EAP-MD5 metoda EAP rozšířená o MD5 [13]. 18 EAP-TTLS metoda EAP rozšířená o TTLS [14]. 19 EAP-SIM metoda EAP rozšířená o SIM [15]. 20 Protected Extensible Authentication Protocol zvyšuje zabezpečení EAP [16]. 14
Protocol) a mnoho dalších. Já se podrobněji podívám na EAP-TLS, EAP-TTLS, PEAP a LEAP 21. Nicméně lze říci, že tyto autentizace slouží k ověřování uživatelů přistupujících do sítě pomocí ověřovacího serveru, na kterém jsou uloženy uživatelské jména a hesla. V podnikovém prostředí je tento typ zabezpečení nezbytný, protože ve firemním prostředí je mnoho dat, které musí být velice dobře zabezpečeny, a proto základní zabezpečení je nepoužitelné. 2.6.1. Typy ověřování EAP-TLS (Transport Layer Security) Metoda ověřování, která využívá protokol EAP a bezpečnostní protokol TLS. Metoda EAP-TLS používá certifikáty, které používají hesla. Ověřování EAP-TLS podporuje dynamickou správu klíčů WEP. Protokol TLS je určen pro zabezpečení a ověření komunikace ve veřejné síti prostřednictvím šifrování dat. Signalizační protokol TLS umožňuje serveru a klientovi, aby se vzájemně ověřili a dohodli algoritmus šifrování a kryptografické klíče ještě před přenášením dat. EAP-TTLS (Tunneled Transport Layer Security) Algoritmus pro ověřování je založen na použití certifikátů, které vzájemně ověří klienta se sítí tak, že uživatel si ověří, jestli síť je ta, do které chce přistupovat a zároveň si ověří, zda uživatel má právo na vstup do sítě. Tato verze byla základní implementací do Microsoft Windows 2000 a následně XP. Původní metodu rozšiřuje EAS-TTLS, která používá vše co je u TLS, ale pro navázání spojení s ověřovacím serverem se používá speciální tunel (z názvu Tunneled ) pro druhé vnitřní ověření a používá k tomu speciální ověřovací protokol např. PAP, SPAP, CHAP. PEAP (Protected Extesible Authentication Protocol) Je to podobné jako u TTLS, zajišťuje TLS k vytvoření tunelu pro druhý ověřovací algoritmus a ten je typu EAP. Já tento typ ověřování využiji při konfiguraci RADIUS serveru. Důvod je takový, že PEAP je podporován na Windows Server 2003, dále je podporován zařízeními, které použiji v bezdrátové síti a celkově tento typ je označován za Enterprise. Obrázek 7: Výběr EAP autentizace ze strany klienta 21 Light Extensible Authentication Protocol od firmy Cisco [17]. 15
Obrázek 7 nám znázorňuje nastavení EAP na stanici, s kterou bychom chtěli přistupovat do sítě tzn. uživatele. Nastavíme si metodu EAP a potom uživatelské jméno a heslo, které se poté ověří na příslušném ověřovacím serveru. LEAP (Light Extesible Authentication Protocol) Verze protokolu EAP. Protokol LEAP je rozšiřitelný ověřovací protokol vyvinutý společností Cisco, který poskytuje ověřovací mechanismus založený na dotazu a odpovědi a dynamické přiřazování klíčů. 2.6.2. Ověřovací protokoly PAP 22 je autentizační protokol, který používá heslo. PAP je protokol pro ověřování uživatelů před povolením k přístupu k serveru. Téměř všechny síťové operační systémy podporují PAP. PAP přenáší nešifrované ASCII hesla po síti a díky tomu se téměř nepoužívá. SPAP 23 je jednoduchý PAP protokol, ale je šifrovaný. Ke komunikaci se používá obousměrný šifrovaný algoritmus mezi klientem a serverem. CHAP 24 je speciální autentizační protokol, který byl původně využíván pro autentizaci Dial- Up sítě. Dneska je v pokročilých verzích jako MS-CHAPv1 25 a MS-CHAPv2, který vytvořil a certifikoval Microsoft. Proces spočívá v tom, že ověřovací server odešle uživateli výzvu obsahující identifikátor relace a libovolný ověřovací řetězec. Po té uživatel odešle odpověď, která obsahuje uživatelské jméno, ověřovací řetězec druhé strany, jednosměrně přijatý ověřovací řetězec. Ověřovací řetězec druhé strany, identifikátor relace a heslo uživatele. Po té server ověří všechny údaje a umožní či neumožní přístup do sítě. Verze 2 není primárně na všech zařízeních podporována, jak ze strany uživatelů (operační systémy), tak na straně výrobců bezdrátových zařízení. Já budu využívat v nastavení MS-CHAPv2, protože je to nejlepší co se dá využít na Windows Server 2003 a také označováno za Enterprise. Obrázek 8: Nastavení EAP autentizace z pohledu AP Obrázek 8 nám znázorňuje nastavení přístupového bodu, ke kterému se připojují jednotliví uživatelé. Zde se nastavuje adresa ověřovacího serveru, port komunikace a klíč. 22 Password Autentication Protocol [18]. 23 Shiva Password Autentication Protocol [19]. 24 Challenge handshake Autentication Protocol [20]. 25 MS-CHAPv1 [21]. 16
2.7. Zpráva z médií: Prolomení WPA za 17 dolarů Slashdot.org upozorňuje na novou službu, kterou nabízí Moxie Marlinspike. Za 17 dolarů můžete nechat čtyřsetprocesorový cluster, aby zkusil prolomit vaše WPA pomocí slovníku se 135 miliony frází vytvořených pro tento typ útoku. Na WPAcracker.com se píše: "Zatímco současnému dvoujádrovému PC by tento úkol trval pět dní, náš cluster jej zvládne v průměru za dvacet minut. 26 2.8. WPA2 (Wi-Fi Protected Access verze 2) WPA2 je kompletní implementací standardu 802.11i. Přidává k TKIP a algoritmu Michael 27 nový algoritmus CCMP 28 založený na AES. Pokud chce zařízení nosit logo Wi-Fi aliance musí WPA2 podporovat, je to od roku 2006. Zabezpečení na základě WPA2 se zatím nepodařilo prolomit, tudíž můžeme konstatovat, že je to velmi bezpečné a lze toto zabezpečení používat v prostředí, kde se klade na velkou bezpečnost přístupu do bezdrátové sítě a také bezpečnost toku dat v bezdrátové síti. Silné šifrovací algoritmy vyžadují výkonnější hardware. Já WPA2 budu používat v nastavení bezdrátové sítě, protože je to nejbezpečnější zabezpečení až na přístupový bod. Podpora výrobců: Oficiální podpora WPA2 v Microsoft Windows XP vyšla 1. května 2005. Může vyžadovat aktualizaci ovladače síťového adaptéru. Windows Vista mají podporu již zabudovanou v základním vydání. Windows Mobile 5 umí WPA, Windows Mobile 6 a výš umí WPA2 standardně Apple podporuje WPA2 na všech Macintoshích obsahujících AirPort Extreme, základnových stanicích AirPort Extreme, a AirPort Express. Potřebné aktualizace firmware jsou obsaženy v AirPort 4.2, vydaném 14. července 2005 V linuxových distribucích přišly aktualizace na podporu WPA2 nejrychleji ze všech operačních systémů, takže po aktualizaci systému či jen konkrétního balíčku byla podpora WPA2 zajištěna. 2.9. MAC filter Adresa MAC je pevnou fyzickou adresou každého síťového zařízení. Každé síťové zařízení by tedy mělo mít specifickou MAC adresu. Co se týče MAC filteru, tak mnoho zařízení tuto funkci umožňuje a princip spočívá v tom, že pro přístup do sítě povolím či zamítnu MAC adresu připojovaného 26 Portál Abclinuxu.cz, 8. 12. 2009 [22]. 27 Algoritmus MICHAEL neguje MIC (Message Integrity Check) klíč, použitý na ochranu paketů, odeslaného z Access Pointu na klienta, pro zahájení výpočtu. 28 CCMP (Counter Mode with Cipher Block Chaining Message Authentication Protocol) je nová metoda, která je specifikovaná standardem IEEE 802.11i. CCMP poskytuje silnější metodu šifrování než protokol TKIP. Tato metoda se volí vždy, když je potřeba silná ochrana dat. 17
síťového zařízení. Bohužel nelze říci, že se jedná o zabezpečení, protože MAC adresa lze jednoduše změnit či odposlechnout na síti a následně použít k připojení. Obrázek 9: Ukázka MAC listu 3. Externí ověřovací systém Velmi často se v začátcích práce vyskytují termíny, jako je autorizační nebo ověřovací systém. A touto kapitolou bych se chtěl věnovat těmto systémům. Ověřovací systémy, jsou vždy brány jako externí počítače na úrovních serverů, ale mohou to být i samostatné aktivní prvky např. routery, které mají tuto činnost na starosti. Zjednodušeně princip spočívá v tom, že v síti máme ověřovací server, bezdrátový přístupový bod a následně jednotlivé přistupující klienty. Přístupový bod je propojen se serverem, a pokud se uživatel chce připojit na přístupový bod respektive do bezdrátové sítě, tak je potřeba jej ověřit a přístupový bod je takový prostředník, který umožňuje bezdrátovou technologii na jedné straně a na druhé poskytuje ověřovacímu serveru ověřování uživatelů a následný přístup do sítě. Tyto ověřovací servery jsou nazývány Kerberos, RADIUS (Remote Authentication Dial In User Service) apod., ale já bude řešit RADIUS server, protože pro moje potřeby je dostačující a dostupný. 3.1. RADIUS Jedná se tedy o samostatnou službu (resp. server), která ověřuje přístup do sítě jednotlivých uživatelů. Následující obrázek znázorňuje proces RADIUS serveru: Klient odešle počáteční zprávu na přístupový bod, který odpoví dotazem na totožnost, identitu uživatele zprávou EAP REQUEST-ID. Uživatel odpoví zprávou EAP RESPONSE-ID, která obsahuje identifikační údaje uživatele. Přístupový bod přidá celou zprávu EAP RESPONSE-ID do paketu RADIUS ACCESS_REQUEST a vyšle ji autorizačnímu serveru RADIUS. Zprávy EAP jsou posílány mezi uživatelem a serverem RADIUS prostřednictvím přístupového bodu. Server RADIUS odpoví zprávou obsahující umožnění/zakázání přístupu pro daného uživatele do sítě: RADIUS ACCESS_ACEPT/DENY, která v sobě obsahuje informaci EAP SUCCESS/FAILURE, kterou přístupový bod přepošle uživateli. V případě povolení (SUCCESS) je přístupový port do sítě (přes něj autentizační komunikace probíhala) otevřen pro data daného uživatele, který na základě úspěšného výše popsaného 18
procesu považován za autentizovaného. Komunikace většinou probíhá na portech 1812 (1645) a 1813 (1646). Obrázek 10: Autentizace pomocí externího serveru (RADIUS) 3.2. RADIUS server možnosti Pokud chci spustit RADIUS službu na svém serveru, tak potřebuju mít aplikaci, která tuto službu podporuje a spravuje. Možnosti jsou takové: 3.2.1. Microsoft Windows Server Microsoft má ve svých produktech operační systémy, které jsou určeny pro servery. Operační systém je označován jako Server a číslo s verzí (2000, 2003, 2008). Z pohledu ověřovací služby RADIUS, je tato služba integrovaná přímo v systému. Stačí zakoupit verzi serveru a jednoduše povolit službu a následně nakonfigurovat. Cena se odvíjí od náročnosti na server (počet procesorů, paměť apod.) a od jednotlivé verze (standard, enterprise apod.). Pro představu Windows Server 2008 standard edition 15 000 29 Kč za rok. 3.2.2. Komerční produkty (stand alone aplikace) Na trhu jsou i samotné stand alone aplikace, které lze zakoupit a nahrát pod operační systém. Výhodou je, že nainstalujeme aplikaci a aplikace má velice příjemné uživatelské prostředí a snadno se konfiguruje. Nevýhodou je, že s aplikací musíme nainstalovat pod operační systém, za který ve většině případů musíme také zaplatit. Nejznámější aplikace jsou: Aradial tento produkt je od společnosti Aradial Technologies a nabízí profesionální řešení v oblasti ověřovacích systémů. Společnost nabízí verzi Aradial HotSpot 30, která je určena pro bezdrátové sítě na bázi Wi-Fi. Výhodou je, že aplikace je pro dvě různé platformy (Windows a Linux). Bohužel cenu na svých internetových stránkách neuvádějí a cena se odvíjí od velikosti a struktury samostatné sítě. 29 Zdroj od firmy MADER s.r.o [23]. 30 Aradial technologies, inc. [24]. 19
Obrázek 11: Aradial HotSpot rozhraní TekRadius tento produkt je velice pěkný z pohledu GUI, ale je zapotřebí mít externí databázi (SQL) pro různá data (uživatelé, přehledy o přístupových bodech apod). Pracuje jedině na platformě Windows, cože vyžaduje koupi operačního systému. Cena je 149 31 USD za enterprise edici. Obrázek 12: TekRadius GUI Evolynx RADIUS server stejně jako u předchozího produktu je zapotřebí mít externí databázi (SQL). Pracuje jedině na platformě Windows a je velice jednoduchý a přehledný. Cena je 199 32 USD za plnou verzi, lze stáhnout a vyzkoušet 30 denní verzi, která nepodporuje všechny funkcionality. Obrázek 13: Evolynx GUI 31 Ceny produktů TekRadius [25]. 32 Ceny produktů Evolynx [26]. 20
3.2.3. Open source aplikace Open source aplikací není mnoho vyvíjeno v tomto odvětví. Výhodou je, že aplikace se nemusí platit, což v malých firmách či školách je jeden z důležitých aspektů při zavádění ověřovacího systému. FreeRadius je nejznámější, nejrozšířenější, volně šiřitelný a open source Radius server, který existuje. Pracuje na platformě Linux, což může být někdy problém, ale lze ušetřit náklady jak na samotný Radius, tak i na free platformu. Podporuje všechny možné protokoly a databázové systémy (SQL, LDAP, MySQL apod.). Je využíván pro celosvětové sítě např. Eduoram 33. Eduoram je celosvětová akademická síť a využívá ověřovací systém FreeRadius. Obrázek 14: Mapa Eduoramu 4. Zabezpečení uvnitř sítě Je důležité vědět, že zabezpečení, které jsem popsal v předchozích kapitolách je až na úroveň přístupového bodu. Za ním již bezpečnost nezajistí. Výjimka je u ověřovacích serverů, kde zabezpečeno pouze ověření až na RADIUS server, ale komunikaci na jiných portech nezabezpečuje. Takže uvnitř sítě už není zabezpečení a musí se ke komunikaci v síti využívat šifrovaných protokolů. Zabezpečení, o kterém se budu bavit, je na úrovni aplikací resp. na samotné aplikační vrstvě. Například HTTPS (HyperText Transfer Protocol Secure) je jeden z nejvyužívanějších protokolů pro komunikaci s webovým serverem. Protokol HTTP není nějak zabezpečený, takže přenáší data v textové podobě a takovéto data není problém přečíst při odposlechu. Proto byl vyvinut protokol HTTPS, který využívá ověření identity na zabezpečení komunikace mezi serverem a klientem. HTTPS používá při přenosu dat šifrování dle protokolu SSL (Secure Socket Layer) nebo TLS (Transport Layer Security) a tím zabezpečuje určitou ochranu před odposlechem komunikace a před útokem typu Man in the middle. Protokol HTTPS pro komunikaci používá port 443. Toto podobné platí i u dalších protokolů (FTPS, poštovní protokoly atd. ). Ve firemních sítích, kde jsou důvěryhodná data, se klade velký důraz na využívání šifrovaných protokolů ke komunikaci se 33 Celosvětová síť Eduoram [27]. 21
službou, která běží na příslušném serveru. Jsou to emaily, internet, intranet, data v datovém uložišti, komunikátory (WebEx), přístup do informačních systémů apod. 5. Zabezpečení uložiště dat Další složkou zabezpečení firemní sítě, je zabezpečení uložiště dat. Uložištěm dat rozumíme server, kde jsou celopodniková data. Praxe je taková, že všechny dokumenty se ukládají na jeden či více serverů s uložištěm. Důvod je takový, že pokud si uživatel ukládá data na svůj pevný disk, tak se může se stát, že pevný disk náhle odejde či počítač je zavirován. Data na serveru jsou zálohovány, tudíž je malá pravděpodobnost, že se o data přijde. Řeší se to použitím nějaké serverové aplikace, která se stará o sdílení dat včetně přiřazování oprávnění k přístupu k daným složkám. Windows Server 200x sdílení dat podporuje a dá se velice jednoduše nastavovat oprávnění k přístupu do jednotlivých složek. Pracuje se s uživatelskými skupinami a po té s jednotlivými uživateli, kteří mají dostat práva. Uživatel si po té namapuje server s uložištěm a následně přistupuje do jednotlivých složek, které vidí všechny, ale do všech nemusí mít přístup nebo jen pro čtení. Další známý server je SAMBA. Je to projekt, který vznikl počátkem roku 1992 a snaží se propojit unixové počítače s počítači, na kterých běží Microsoft Windows. Název je odvozen od zkratky SNB (Server Message Block), což je protokol používaný pro vzdálený přístup ke sdíleným souborům v systémech Microsoft Windows. Velkou výhodou je, že lze v SAMBA přistupovat k souborům jak s unixovými systémy, tak platformou Windows. Dále je nutno podotknout, že samba je volně šiřitelný software, což může ušetřit náklady. Dneska je SAMBA ve verzi 4 a poskytuje velké množství nastavení pro sdílení a oprávnění. 22
Obrázek 15: Nastavení zabezpečení v SAMBA Já celkové zabezpečení řeším vytvořením serveru s diskovým polem o nějaké kapacity dle potřeby firmy a po té využiji SAMBU, pro kterou využiji uživatelské skupiny ve vytvořeném Windows Server 2003. Jednotlivým uživatelským skupinám či jen samotným uživatelům přiřadím vytvořené složky dle účelu. Pokud přijde nový zaměstnanec, tak mu vytvořím účet na Windows Server 2003 a přidám do skupiny. SAMBA už bude mít nadefinované skupiny uživatelů a nový zaměstnanec bude mít výchozí přístup do složek své skupiny. Pokud by zaměstnanec měl dostat přístup do jiných specifických složek, tak jej v SAMBA přidám ručně. Na Obrázku 15 je vidět nastavení zabezpečení SAMBA. 6. Firewall Firewall (neboli protipožární zeď) má za úkol chránit privátní síť před útoky okolních sítí. Provádí to tak, že zamezuje přístup privátní sítě k službám cizích sítí. Cizími sítěmi ve většině případů rozumí samotný internet. Je třeba, aby firewall byl umístěn mezi privátní sítí a ostatními sítěmi, čímž ochraňuje danou privátní síť od okolí. Firewall se rozděluje do třech základních druhů: paketový filtr, stavový a aplikační proxy. Já chci využít aplikační proxy, protože chci na základě uživatelských účtů či uživatelských skupin vytvořených na Windows Server 2003 přiřadit jednotlivá práva a tak omezovat jednotlivé zaměstnance pro přístup do okolní sítě nebo internetu. 6.1. Paketový filtr Tento firewall pracuje pouze na IP vrstvě. Filtrace funguje na základě IP adresy odesílatele a příjemce. Filtr se rozhoduje na základě obsahu záhlaví IP datagramu (případně též záhlaví TCP/UDP paketu). Samotná filtrace na úrovni pouze IP protokolu mnoho nezmůže, ale ve spojení s filtrací na úrovni protokolu TCP je poměrně mocným nástrojem. 23
Obrázek 16: Model TCP/IP Obrázek 17: Schéma datagramu - zvýrazněny jsou IP adresy adesílatele a příjemce Při tvorbě filtru jsou teoreticky možné dvě varianty. Buď se vše povolí a dopisují se pravidla specifikující, které prvky kam nesmí. Nebo naopak se vše zakáže a po té se jednotlivě povoluje. Z bezpečnostních důvodů se většinou dává přednost druhé variantě. Filtry se rozdělují do čtyř základních kategorií, ale server s filtrem může podporovat všechny nebo jen některé. 6.1.1. Standardní filtry Standardní filtry filtrují pouze na základě IP adresy odesílatele (odesílatelem se rozumí odesílatel IP datagramu). 6.1.2. Rozšířené filtry Rozšířené filtry filtrující na základě jak IP adresy odesílatele, tak i IP adresy příjemce. Rozšířené filtry umí filtrovat i na základě informací z TCP záhlaví (resp. UDP záhlaví). 6.1.3. Dynamické filtry Dynamické filtry umožňují otevřít umožňující otevřít specifikovaný průchod směrovačem uživateli, který se vůči směrovači autentizoval. Praktické využití tohoto filtru je omezeno spíše na správce systému, protože uživatel se nejprve musí autentizovat např. programem Telnet. To však není pro běžné uživatele. 6.1.4. Reflexní filtry Reflexní filtry, které sledují relaci vyššího protokolu (TCP, resp. UDP) a povolují směrem ven zřídit relaci a směrem dovnitř propouští pouze pakety patřící k této relaci. 24
6.2. Stavový firewall Stavový firewall 34 rozšiřuje paketový filtr a přichází s novým přístupem. Stavový firewall zkoumá nejen záhlaví daného datagramu, ale dokáže na něj nahlížet komplexně a zkoumá všechny souvislosti celého spojení. Stavový firewall rozezná různé druhy spojení například nově navázané spojení nebo již existující spojení, díky tomu můžeme filtrovat celé datové toky. Princip tedy spočívá v tom, že stavový firewall si ukládá vyhodnocení jednotlivých datagramů a zkoumá souvislosti s dalšími datagramy, kdyžto paketový jednoznačně vyhodnotí, co s datagramem a neukládá si nic do paměti. 6.3. Aplikační proxy Již z názvu vyplývá, že tento druh firewallu pracuje na aplikační vrstvě. Znamená to, že komunikuje přímo na aplikační vrstvě s danou aplikací. Proxy v anglickém jazyce znamená prostředník, což tento termín vystihuje pro tento druh firewallu. Je to prostředník mezi klientem a používanou aplikací s daným serverem. Klient posílá požadavek přímo na proxy server a samotný proxy server vyhodnotí tento požadavek respektive komunikaci s dalším serverem, o který klient žádá. Proxy je program skládající se ze dvou částí: a) Ze serverové části (prostředník), která přijímá požadavky klienta, jako kdyby je přijímal cílový server. Požadavky potom předá klientské části. b) Z klientské části, která převezme požadavky od serverové části (prostředník), naváže TCP spojení s cílovým serverem a předá jménem klienta požadavky cílovému serveru k vyhodnocení. Proxy jak už bylo řečeno, rozumí aplikačnímu protokolu (FTP, HTTP, TELNET aj.). Nejvyužívanějším proxy serverem je HTTP proxy sever, kterým se budeme dále zabývat. HTTP proxy server s požadavkem přijatým od klienta může provést několik operací: - Může přepsat požadavek či odpověď, to znamená změnit data aplikačního protokolu. - Odpovědi může ukládat do paměti Cache (například na pevný disk). Pokud proxy obdrží v budoucnu stejný požadavek třeba od jiného klienta, tak může tento požadavek vrátit rychleji přímo z paměti, aniž by navazoval další spojení s cílovým serverem. Je to sice efektivní, ale problém vzniká při aktuálnosti uchovaných odpovědí. V dnešní době se začíná ustupovat od ukládání požadavků do paměti Cache na proxy, protože obsah stránek se dynamicky mění. - Může zjišťovat, zdali je klient oprávněn takový požadavek provést. Proxy může prověřovat oprávněnost klienta a provést nějaký požadavek z několika hledisek: 34 Stavový firewall jakožto rozšíření paketového filtru [28]. 25
- Může zjišťovat, zda klient nepřistupuje na nějaký nežádoucí server. Například zaměstnavatel může nechat na proxy nastavit seznam serverů, na které nebudou moci jeho zaměstnanci přistupovat. V praxi je běžné, že zaměstnavatel zakáže přístup např. na www.facebook.com. - Může zjišťovat, zda je uživatel oprávněn proxy vůbec používat. V takovém případě vyžaduje autentizaci uživatele. Nejčastější typy autentizace uživatele jsou: o Pomocí IP adresy stanice, na které uživatel pracuje. Tato autentizace není příliš bezpečná, proto slouží spíše k administrativnímu omezení některých klientů nepoužívat proxy (např. nepřistupovat přes proxy do internetu) o Pomocí jména uživatele a stálého hesla. o Pomocí jména uživatele a jednorázového hesla. - Proxy běžící na firewallu mohou od operačního systému požadovat, aby prováděl kontrolu, z jakého síťového rozhraní přichází uživatelův požadavek na proxy, to znamená, že uživatel přistupuje ze síťového rozhraní vnitřní sítě, či ze síťového rozhraní internetu. To pochopitelně standardní implementace TCP/IP v operačním systému neumí. To bývá právě jedním z důvodů, proč firewally při své instalaci zásadně zasahují do operačního systému. Podle těchto informací pak proxy zjišťuje, zda je požadavek z intranetu či jde např. o útok z internetu. Útokům z internetu může být také bráněno tím, že serverová část proxy naslouchá pouze na IP adrese vnitřní sítě proxy. - V případě, že proxy ví, odkud požadavek přišel (jestli z vnitřní sítě, nebo z internetu), může použít jiný autentizační mechanizmus pro požadavky z vnitřní sítě a pro požadavky z internetu. Např. z vnitřní sítě vyřizuje všechny požadavky, kdežto z internetu vyžaduje autentizaci jednorázovým heslem. - I proxy může data před tím, než je předá nebo uloží do paměti Cache zkontrolovat, zda neobsahují viry. Většinou to proxy nedělá sama, ale volá na to jiný proces, který tuto speciální kontrolu provede. Tento proces může běžet na jiném specializovaném serveru a pak se takový specializovaný server označuje jako virusfirewall. 26
proxy.server.cz 80 Obrázek 18: Nastavení proxy na klientu (Windows 7) Jako každé aplikace na tru dělí do dvou hlavních skupit a to do komerčních a nekomerční. V následujících kapitolách rozepíši a zmíním nějaké aplikace těchto dvou skupin. 6.3.1. Komerční aplikace HTTP proxy Komerčních aplikací je velká řada a já vyjmenuji jen pár aplikací, které stojí za zmínku. Internet Security & Acceleration Server (ISA server) je integrovaná brána zabezpečení (nejen firewall) na hranici sítě, která pomáhá chránit vnitřní síť před ohroženími z Internetu a současně umožňuje zaměstnancům zabezpečený přístup k datům a aplikacím společnosti Microsoft. ISA Server 2006 kombinuje sílu brány firewall na aplikační vrstvě, řešení pro VPN (virtuální privátní sítě), proxy a webovou mezipaměť. Slouží jako aplikační firewall, VPN brána (pro bezpečné připojení klientů do vnitřní sítě, nebo šifrované propojení poboček), pro bezpečný přístup odkudkoli k elektronické poště v prostředí Microsoft Exchange a intranetových portálů na platformě Microsoft Windows SharePoint Services. Microsoft ISA server disponuje i možnostmi logování a předdefinovaných reportů. Cena za Standard Edition se pohybuje okolo 10000 Kč. Také je dostupná trial verze na 180 dní, která je zdarma. Velkou nevýhodou tohoto systému je, že ISA server má velice mnoho možností a zároveň to tedy vyžaduje zkušeného administrátora pro správu a konfiguraci, což může přinést další náklady. Securepoint UTM 10 je nejnovější produkt od Rakouské firmy Securepoint GmbH se sídlem v Salcburku. Je to komplexní bezpečnostní systém pro velké společnosti, který je dodáván včetně hardwaru, na kterém bezpečnostní systém běží. Celkový systém má velmi mnoho zabezpečení, ale nás zajímá řešení proxy. Co se týče http proxy, tak podporuje ověřování uživatelů z databáze (různé druhy databáze uživatelů např. LDAP, SQL apod.). Dále sleduje počet stahování dat na uživatele a monitoruje. Blokuje webové stránky v jednotlivých navolených kategoriích. Skenuje viry na 27
webových stránkách a následně upozorňuje uživatele nebo blokuje. Zakazuje stahování objemných souborů. Tento bezpečnostní systém z pohledu HTTP proxy je velmi moderní a propracovaný, což vyžadují firmy, kde je přes několik stovek uživatelů a je potřeba nastavovat práva na přístup do internetu. Ceny neuvádějí, ale pokud si koupíte jejich celé řešení, tak máte záruku 3 roky včetně podpory, ale odhadovaná cena je přes 100000 Kč včetně hardwaru. 6.3.2. Nekomerční aplikace HTTP proxy Nekomerční aplikací rozumíme program, který je zdarma. V dnešní době tyto free programy a operační systémy jsou velice žádány a rozšířeny. My se podíváme na aplikaci zvanou Squid. Squid Squid je funkcemi nabitý webový zprostředkovatelský proxy server s vyrovnávací pamětí, který poskytuje službu zprostředkování služeb proxy a službu dočasného ukladání souborů do vyrovnávací paměti cache pro protokoly HTTP, FTP a další populární síťové protokoly. Squid umí služby poskytovat i prostřednictvím šifrovaného spojení přes SSL a může dočasně ukládat i DNS (Domain Name Server) záznamy a vykonávat tzv. transparentní ukládání do vyrovnávací paměti. Squid také podporuje nejrůznější protokoly pro řízení ukládání do vyrovnávací paměti jako například ICP (Internet Cache Protocol), HTCP (Hyper Text Caching Protocol), CARP (Cache Array Routing Protocol) a WCCP (Web Cache Coordination Protocol). Zprostředkovatelský server Squid s vyrovnávací pamětí je excelentní řešení při potřebě nasazení nejrůznějších typů zprostředkujících serverů a serverů s vyrovnávací pamětí, které se hodí pro menší podniky, ale i komplikované sítě velkých podniků, protože poskytuje komplexní mechanizmus řízení přístupu a monitorování kritických parametrů přes SNMP (Simple Network Management Protocol (NMP). Při výběru počítačového systému, který má sloužit pro účely serveru Squid je důležité vybrat systém s velkou kapacitou fyzické paměti (RAM), protože Squid udržuje vyrovnávací paměť ve fyzické paměti, aby zvýšil výkon. 7. Instalace služby IAS (Internet Authentication Service) Jak funguje ověřovací služba, už bylo objasněno a teď je potřeba se podívat na praktickou část a to reálnou konfiguraci samotné ověřovací služby na stroji, kde je nainstalován Microsoft Windows Server 2003. Stroj s tímto systémem jsem vybral, protože na tomto stroji běžely některé služby, ale nezatěžovaly stroj naplno a dále, že Microsoft dodává na svých operačních systémech pro servery podporu ověřovací služby. Dále by zde mohla být otázka, proč nevyužít nějaké open source řešení, ale ve velké korporaci, ve které realizuji toto řešení nelze použít open source, protože politika je nastavena na produkty od firmy Microsoftt. Jinak jednotlivé složky konfigurace jsou obdobné jako 28
v alternativních aplikacích, které jsou označovány jako ověřovací služby (RADIUS) princip je stejný. Windows Server 2003 nenabízí ve výchozí instalaci službu IAS. Je potřeba jí ručně doinstalovat z instalačního CD. Jednoduše Start -> Control panel -> Add or Remove Programs -> Add/Remove Windows Components -> Netowrk Services -> Details -> Internet Authentication Service a služba IAS se zaškrtne a potvrdí se Ok. Služba se doinstaluje a je možno s ní pracovat. Obrázek 19: Doinstalace služby IAS Po instalaci IAS se služba musí spustit Start -> Administrative Tools -> Internet Authnetication Service a zobrazí se okno s konfigurací jednotlivých částí služby a tuto službu je možno nadále konfigurovat podle podmínek, které jsou stanoveny a použít ve firemním prostředí. Službu lze zastavit či restartovat. Je to důležitý poznatek, protože když se udělá nějaká změna v konfiguraci, tak je důležité restartovat službu nebo celý server, ale pokud běží několik služeb najednou, tak není dobré restartovat celý server, ale jen službu IAS. Dále se musejí nastavit komunikační porty služby. První ve vlastnostech samotné IAS nastavím porty. V kartě Ports jsou zde dvě velmi důležité položky, jedna je Authentication a v ní nastaveny porty (1812 a 1645), což slouží k ověřování autentizace uživatele. Otázkou je, proč zde jsou dva tyto výchozí porty. Odpověď je jednoduchá, protože první port (1812) je přímo od Microsoftu a druhý je od Cisca. Je dobré tam nechat oba výchozí, protože některá zařízení umí pouze jeden z nich, ale ty novější berou v potaz oba nebo si je můžeme ručně nastavit. Druhá položka Accountig slouží k účtování respektive k přímému přihlášení. 29
Zase máme zde dva porty (1813 a 1646) a vysvětlení je stejné jako u autentizačních portů. Tyto položky se ve většině případů nechávají nastaveny jako výchozí. Obrázek 20: Nastavení portů služby Poté se nastaví samotné logovaní, které se konfiguruje v Remote Access Logging. Klikne se na složku, a zobrazí se konfigurační soubory. Nás zajímá LocalFile, protože logový soubor budeme vést přímo na našem stroji. Klikne se pravým tlačítkem na LocalFile a dá se Properities. Pokud bychom chtěli údaje vést na externím databázovém serveru, tak budeme konfigurovat SQL Server, ale je to poněkud složitější na nastavení, protože bychom museli vytvořit jednotlivé tabulky databáze a propojit s naším serverem. Dále pokud nefunguje SQL databáze, tak se IAS služba zastaví, což se v novějších verzích Microsoft Windows Server snaží vyřešit. Obrázek 21: Remote Access Logging Nastavíme si údaje, které chceme udržovat v log souboru. Nutno podotknout, že údaje, které lze udržovat v tomto log souboru, jsou pouze uživatelé, kteří jsou vytvoření ve Windows Server 2003. Což je náš případ, protože uživatelské účty a skupiny uživatelů máme vytvořeny v systému Windows 30