Sem vložte zadání Vaší práce.
České vysoké učení technické v Praze Fakulta informačních technologií Katedra softwarového inženýrství Diplomová práce Analýza informačního zabezpečení NTK a návrh implementace komplexních pravidel informační bezpečnosti Bc. Adam Pechánek Vedoucí práce: Ing. Václav Jansa 9. května 2012
Poděkování Rád bych poděkoval vedoucímu oddělení provozu IT, panu Ing. Václavu Jansovi, za drahocenný čas, který mi věnoval za účelem vysvětlení problematiky ICT v tak velké organizaci, jako je NTK.
Prohlášení Prohlašuji, že jsem předloženou práci vypracoval samostatně a že jsem uvedl veškeré použité informační zdroje v souladu s Metodickým pokynem o dodržování etických principů při přípravě vysokoškolských závěrečných prací. Beru na vědomí, že se na moji práci vztahují práva a povinnosti vyplývající ze zákona č. 121/2000 Sb., autorského zákona, ve znění pozdějších předpisů, zejména skutečnost, že České vysoké učení technické v Praze má právo na uzavření licenční smlouvy o užití této práce jako školního díla podle 60 odst. 1 autorského zákona. V Praze dne 9. května 2012..................... 7
České vysoké učení technické v Praze Fakulta informačních technologií c 2012 Adam Pechánek. Všechna práva vyhrazena. Tato práce vznikla jako školní dílo na Českém vysokém učení technickém v Praze, Fakultě informačních technologií. Práce je chráněna právními předpisy a mezinárodními úmluvami o právu autorském a právech souvisejících s právem autorským. K jejímu užití, s výjimkou bezúplatných zákonných licencí, je nezbytný souhlas autora. Odkaz na tuto práci Adam Pechánek. Analýza informačního zabezpečení NTK a návrh implementace komplexních pravidel informační bezpečnosti: Diplomová práce. Praha: ČVUT v Praze, Fakulta informačních technologií, 2012.
Abstract The main task of this thesis is to make the ICT security analysis of the National technical library. It should also point out overview of used software, including responsible persons. The same applies to servers and security of access. It also offers solutions to identified deficiencies, including project implementation. Keywords Computer network, server, workstation, printer, topology, network administration, terminal system, security audit, network security, OS security, security of access Abstrakt Práce má za úkol provést analýzu ICT zabezpečení Národní technické knihovny. Součástí je vytvoření přehledu o používaném SW, včetně zodpovědných osob. Stejně tak serverů a zabezpečení jejich přístupu. Zároveň nabídne řešení zjištěných nedostatků a to včetně návrhu projektu pro implementaci. Klíčová slova Počítačové sítě, Server, Pracovní stanice, Tiskárny, Topologie, Správa počítačové sítě, Terminálový systém, Bezpečnostní audit, Zabezpečení sítě, Zabezpečení OS, Zabezpečení přístupu 9
Obsah Úvod 17 1 O Národní technické knihovně 19 1.1 Základní informace......................... 19 1.2 NTK z pohledu IT......................... 19 2 Analýza současného stavu 25 2.1 Používané technologie....................... 25 2.2 Používaný software......................... 34 2.3 Skupiny uživatelů.......................... 41 2.4 Závěr analýzy............................ 43 3 Praktická část 45 3.1 Použitý software.......................... 45 3.2 Příprava na bezpečnostní analýzu................. 45 3.3 Analýza sítě z veřejně dostupných přístupových bodů..... 46 3.4 Analýza sítě bez omezení firewallem............... 47 4 Návrh pravidel bezpečnosti 49 4.1 Zabezpečení sítě.......................... 49 4.2 Zabezpečení OS........................... 53 4.3 Zabezpečení přístupu........................ 54 4.4 Monitorování provozu....................... 60 Závěr 69 Seznam použité literatury 71 A Detailní seznam fyzických serverů (neveřejné) 73 B Detailní seznam virtuálních serverů a hostovaných systémů (neveřejné) 75 C Detailní seznam používaného software (neveřejné) 77 11
D Výsledek skenování sítě aplikací Nessus v5 (neveřejné) 79 E Návrh projektu zabezpečení ICT v NTK (neveřejné) 81 F Obsah přiloženého CD 83 12
Seznam obrázků 1.1 Budova NTK.............................. 20 1.2 Učebna ČVUT s terminály SUN................... 21 1.3 Terminály v NTK........................... 21 1.4 Používané diskové pole HP Eva 6100 - kontrolery HSV200..... 22 2.1 Topologie sítě NTK.......................... 26 2.2 Tipping Point 2400E.......................... 27 2.3 3Com MAP 3850............................ 28 2.4 Servery HP ProLinat BL680c a 460c................. 29 2.5 Současné počítače - HP Compaq 8200(zaměstnanci) a HP xw4600 (studovny)............................... 32 2.6 Tenký klient HP T5540 Thin..................... 33 2.7 Veřejné tiskárny HP Color LJ CM6030MFP a HP LJ M4345... 35 2.8 Schéma přenosu identit a autorizace uživatelů............ 36 3.1 Webové rozhraní Nessus - parametry prováděného testu (u náhodné sítě)................................... 47 3.2 Webové rozhraní Nessus - přehledný výsledek testu (u náhodné sítě) 48 4.1 Schéma ověřování 802.1x........................ 50 4.2 Princip fungování centrálního logovacího serveru.......... 52 4.3 Aplikace TeamPass........................... 58 4.4 První přihlášení do aplikace TeamPass................ 60 4.5 Nastavení zásad auditu v MS Windows............... 64 4.6 Aplikace AuditPro........................... 65 4.7 Výstup monitoringu uživatele v grafech............... 66 13
Seznam tabulek 2.1 Rychlý seznam fyzických serverů................... 30 2.2 Seznam virtuálních strojů....................... 31 2.3 Seznam OS instalovaných na servery................. 31 2.4 Pracovní stanice v NTK........................ 32 4.1 Rozdělení pracovníků provozu IT do skupin............. 57 4.2 Nastavení DB pro TeamPass..................... 60 4.3 Aktivace účtování procesů (obecně).................. 62 4.4 Aktivace účtování procesů RedHat a SuSE.............. 62 15
Úvod Každá moderní a konkurenceschopná organizace by měla využívat služeb ICT 1, a to jak pro svůj běh, tak především k poskytování vnějších služeb. Prakticky všechny části business procesů lze spravovat a zefektivnit pomocí různých podnikových systémů, jež jsou nedílnou součástí ICT. Avšak každá služba může být zneužita či podrobena útoku. V případě provozování ICT jsou největším rizikem uživatelé a administrátoři. To díky riziku prolomení či zneužití jejich hesel a následnému přístupu k veřejně nepřístupným zdrojům. Navíc snadná dostupnost pokročilých nástrojů (ať už k zjištění hesel či jen monitorování infrastruktury sítě) dává dnes do rukou i obyčejným lidem mocný nástroj k narušení sítě či bezpečnosti strategických dat. Další potenciální hrozbou je škodlivý software. Napadnout počítačový systém viry není vůbec složité. Díky nerozvážnosti uživatelů je možné získat kontrolu nad pracovní stanicí pouhým procházením internetu, nebo například otevíráním nevyžádané pošty obsahující škodlivý program. A tak denně může být nesprávně zabezpečené firemní systémy napadnuty jedním (nebo rovnou několika) z více než milionu virových mutací. Posledním rizikem je nedodržování doporučených postupů. To se projevuje například tak, že administrátoři nemění defaultní hesla, nebo je sdílí mezi více zaměstnanci. Často také neodebírají přístupy zaměstnancům, kteří je již ve své nové pracovní pozici nepotřebují a nebo dokonce už společnost opustili. Abychom rizika co nejvíce minimalizovali, je potřeba definovat bezpečnostní pravidla a zároveň donutit administrátory a další zaměstnance se těmito pravidly řídit. V diplomové práci se budu věnovat analýze zabezpečení Národní technické knihovny. Výsledkem této analýzy prostředí, odpovídající dokumentace a konzultací s jednotlivými administrátory bude vytvoření metodických postupů a návrhu projektu pro implementaci a to včetně časového plánu, personálních nároků a kontrolních bodů realizace. Úvodní analýza rizik pak bude srovnána s navrhovanými opatřeními. Součástí práce bude také zhodnocení časové náročnosti a míry pokrytí rizik. 1 ICT je z anglického Information and Communication Technologies zkratka pro informační a komunikační technologie, které se používají za účelem komunikace a práci s informacemi. 17
Úvod Vzhledem k okolnostem (požadavek zadavatele) obsahuje práce neveřejné přílohy. Tyto přílohy však v obsahu uvádím, neboť k práci patří. 18
KAPITOLA 1 O Národní technické knihovně 1.1 Základní informace Národní technická knihovna (dále jen NTK) je příspěvková organizace (zřizovatelem je ministerstvo školství), která dříve pod názvem Státní technická knihovna sídlila v pražském Klementinu. Především z kapacitních důvodů byly v roce 2006 zahájeny stavební práce na vybudování nových prostor NTK. Dalším důvodem mělo být slučování s knihovnami ČVUT a VŠCHT 2. V roce 2009 se pak nově postavená knihovna v areálu vysokých škol v Dejvicích otevřela veřejnosti. V současnosti se jedná o největší technickou knihovnu v české republice, obsahující více než 400 tisíc publikací ve volném výběru a to především z oblasti techniky a aplikovaných přírodních a společenských věd. Celkem zde naleznete přes milion svazků v podobě knih, časopisů, vědeckých prací aj. To vše rozprostírajíc se na 38 000 metrech čtverečních užitkové plochy. Budovu mimo jiné využívají okolní vysoké školy ČVUT i VŠCHT zde mají svou ústřední knihovnu, učebny či přednáškový sál. Uvnitř se také nachází pobočka městské knihovny pro Prahu 6. 1.2 NTK z pohledu IT V národní technické knihovně bylo v roce 2011 zaměstnáno na 156 osob pracujících v osmi různých odděleních. Lze tedy říci, že se jedná o středně velkou organizaci. Počet uživatelů je však daleko vyšší a to díky čtenářům, kteří mají při návštěvě možnost využít přítomných terminálů, či studentům, jež se mohou připojit na bezdrátovou síť. Ve špičce dosahuje vytíženost bezdrátových přístupových bodů okolo 500 až 700 uživatelů. Především zvídaví 2 Zatímco u ČVUT se tak stalo jen prostorově, u VŠCHT je integrace pripravovana v horizontu jednoho roku. 19
1. O Národní technické knihovně Obrázek 1.1: Budova NTK studenti, tvořící 60% z téměř 12 500 (aktivních) registrovaných čtenářů, mohou představovat určité nebezpečí. Ti navíc, společně se zaměstnanci ČVUT a VŠCHT, mají přístup přes své školní karty do budovy a také do sítě přes Eduroam. Kromě 170 pracovních stanic, které využívá většina ze zaměstnanců, je k dispozici 165 terminálů. Mimo ně ještě zákazníci knihovny používají i jednoúčelová zařízení (označované jako SelfCheck), jejichž uživatelské rozhraní je čistě dotykové a slouží pouze k výpůjčkám a případně i příjmu knih. Vybaveny jsou RFID 3 čtečkami (k rozpoznání přiložených knih a registrační karty) a pokladní tiskárnou. Součástí celku SelfCheck je i robotizovaná vracečka a třidička knih. Dále zde najdeme tiskový systém s multifunkčními tiskárnami a cirka 70 počítačů v učebnách a studovnách. Nechybí dokonce ani 42 informačních kiosků, poskytující rychlý náhled na internet, tisk či prohlížení knihovních zdrojů a katalogů. Jak už bylo řečeno výše, v organizační struktuře NTK nejdeme celkem osm oddělení, zabývající se digitalizací, projekty, marketingem a dalšími pro chod organizace důležitými oblastmi. Ta všechna by se neobešla bez klíčových aplikací, čítající přes 20 položek. Patří mezi ně například knihovní systém, cen- 3 RFID je technologie umožňující komunikaci s bezkontaktními kartami. 20
1.2. NTK z pohledu IT Obrázek 1.2: Učebna ČVUT s terminály SUN Obrázek 1.3: Terminály v NTK 21
1. O Národní technické knihovně trum ISSN, rezervační a platební systém, evidence osob apod. S detailnějším popisem se setkáme v jedné z dalších kapitol. Zde by měl být kladen důraz na správně nastavené uživatelské skupiny, autorizace a další bezpečnostní prvky související s přístupem. Doba, kdy všechny aplikace byly instalovány na pracovních stanicích, je už dávno ta tam. A tak se v takto velkých korporacích takřka všechny aplikace instalují na aplikační servery. Tím se zajistí především jejich snadná, centralizovaná správa. O bezproblémový chod se tak v útrobách NTK stará více než 30 fyzických (a přibližně dvojnásobný počet virtuálních) serverů, provozovaných na různorodých operačních systémech. Protože však ke každým aplikacím a databázím patří i data, musíme pro ně najít vhodná, pravidelně zálohovaná úložiště. V případě NTK jsou data ukládána na diskové pole osazené 86 disky s neformátovanou kapacitou 38 TB. Samozřejmostí je jejich pravidelná záloha. Obrázek 1.4: Používané diskové pole HP Eva 6100 - kontrolery HSV200 Aby všechna zařízení spolu správně komunikovala, musí být mezi sebou propojena do sítě. Primárně se v případě NTK setkáme s protokolem IPv4 a to kvůli nekompatibilitě s některými klíčovými aplikacemi (Aleph, SFX,... ) a zařízeními (IDS/IPS). Naopak zbylé webové služby i nové pracovní stanice už dnes běžně využívají protokol IPv6. Co se týče fyzické sítě, ta je rozdělena do několika virtuálních podsítí, oddělující od sebe jednotlivé logické celky, jako jsou IP telefony, tiskárny, kiosky aj. Od Internetu jsou pak tyto sítě separovány 22
1.2. NTK z pohledu IT firewally, které vytváří demilitarizovanou zónu. Ta zajistí větší bezpečí jak při útoku z venku, tak (při vhodném nastavení) i pokusu o převzetí kontroly nad servery zevnitř. Samotné připojení do Internetu je obstaráno pomocí sítě CESNET. K dispozici je i několik bezdrátových sítí. Zákazníkům je poskytnuta síť NTK-simple, speciálně pro studenty je pak připravena síť Eduroam. Zabezpečení této části se budu zabývat v dalších kapitolách. Tímto jsem se pokusil vytvořit obecné povědomí o IT infrastruktuře v NTK. Ačkoliv byla knihovna otevřena poprvé pro veřejnost už před třemi lety, stále je možné narazit na místa, která si zaslouží z hlediska bezpečnosti větší pozornost. Jak už to v praxi bývá, důležité je splnit termín a rozpočet ostatní věci lze v nouzi doladit za chodu. Možná i to byl ten důvod, proč jsem dostal doporučení zabývat se zabezpečením NTK, jako bychom s budováním IT infrastruktury teprve začínali. 23
KAPITOLA 2 Analýza současného stavu 2.1 Používané technologie Obecný přehled o tom, jak NTK funguje a z jakých částí se skládá, jsme si již vytvořili. Nyní se zaměříme na analýzu konkrétních technologických součástí. Především nás budou zajímat síťová zařízení, servery a pracovní stanice. 2.1.1 Síťové prvky Základem každé počítačové sítě jsou síťové prvky. Jejich vhodné zabezpečení zamezí neoprávněnému přístupu do sítě, či podvrhnutí a dešifrování bezpečnostních mechanismů během komunikace. V NTK se setkáme se značkou 3Com a to díky nejlepší nabídce ve výběrovém řízení, kde figurovaly i značky jako HP a Cisco. Díky tehdejším podmínkám soutěže je dnes v NTK gigabitová síť, plně redundantní infrastruktura nebo třeba sondy IDS a IPS. Nezanedbatelné jsou i náklady na spotřebu elektrické energie, jež jsou poloviční oproti řešení od HP a třetinové oproti Cisku. Obrázek 2.1 nám zjednodušeně popisuje topologii sítě. Ta je vždy redundantní jsou tak využity vždy minimálně dva komunikační spoje do různých přepínačů a následně zabaleny do jednoho virtuálního. 2.1.1.1 Firewall Prvním a nejdůležitějším článkem směrem z internetu je firewall. Ten je řešen jako dva H3C SecBlade moduly uvnitř 3com S7900E switche. K CESNETu jsou připojeny oba moduly v režimu active standby. Obecnou úlohou tohoto firewallu je oddělení demilitarizované zóny (vnitřní sítě) od internetové sítě. Stejně tak zajišťuje zamčení portů, jež nejsou bezprostředně nutné k veřejné 25
2. Analýza současného stavu Obrázek 2.1: Topologie sítě NTK 26
2.1. Používané technologie Obrázek 2.2: Tipping Point 2400E komunikaci se systémy uvnitř sítě. Firewally zajišťují také NAT a SNAT 4. Interní síť je zcela provozována na privátních adresách 10.0.0.0/8. Venkovní síť má 1,5 C rozsahu pro potřeby knihovny a 32 adres na eduroam a konferenční použití (to kvůli licencím na EIZ 5 ). 2.1.1.2 IDS/IPS sondy Přístup do každé větší sítě by neměl chránit pouze firewall, ale také aktivní prvky, které pomohou detekovat útok a případně na něj i rovnou zareagovat. K tomu slouží systém IDS (pasivně) a IPS (aktivně). Zde je použita sonda 3COM Tipping Point 2400E, která úzce komunikuje s firewallem, monitoruje otevřené porty a snaží se tak na případný útok reagovat. Komunikace aplikací uvnitř chráněné sítě je tímto částečně zabezpečena proti spyware, virům a nečistému datovému toku. Veškerý provoz je do sondy směrován z veřejných sítí knihovny (pomocí směrovacích pravidel) a samozřejmě také z oblasti mezi knihovnou a internetem. Na náčrtu topologie sítě (Obrázek 2.1) je vidět konfigurační server (SMS) pro TippingPoint. 2.1.1.3 Přepínače Hlavním přepínačem, který se stará o rozvod sítě k dalším prvkům v patrech je tzv. CoreSwitch. Jedná se o model 3Com CS7910E (obsahující 2x řídící kartu s 10Gbit linkami) a záložní 3Com CS7903E (s jednou 2port řídící kartou). Osazena je 2x 10Gbit optická linka. Propojení se servery je řešeno metalickými kabely redundantně (a v případě záložního switche jednou linkou) do nezávislých karet a ideálně i switchů. Vzhledem k výše uvedenému je patrné, že CoreSwitch je velmi důležitý prvek, kde je na bezpečnost a spolehlivost kladen velký důraz. 4 jako SNAT je většinou označován Source Network Address Translation (zdrojový překlad adres) - tedy protějšek NAT (Destination NAT) 5 EIZ neboli elektronické informační zdroje je souhrný název placených plnotextových portálů z oborů techniky (například Springer, Wiley, Ebsco) 27
2. Analýza současného stavu Ostatní rozvodny jsou řešeny řadou 3Com 5500G-EI a to buď v podobě 48-portových a nebo 24-portových switchů. U některých je pak z důvodů Wi- Fi AP či kamerového systému využita varianta s Power-Over-Ethernet. Výjimečně jsou také zapojeny switche 3Com 4210, které slouží pouze k dokrytí lokálních potřeb (režie sálu, studovny, apod.). 2.1.1.4 Routery Další podstatnou součástí sítě jsou směrovače. Jejich funkci zastupují FireWall karty (směrem do vnější sítě). Přes ně je taky řízen loadbalancing 6 pro Windows 2003 Terminálové Služby. Interní síť pak přepínají řídící karty CoreSwitchů. Ty také provádí směrování mezi jednotlivými VLANy. Karty jsou navíc v režime active, takže jejich celkový výkon se sčítá. Propojení jsou řešena pomocí IRF 7 do jediného virtuálního stohu s jednou IP adresou. 2.1.1.5 WiFi AP Zázemí pro bezdrátové sítě je v NTK řešeno pomocí 130 přístupových bodů typu 3Com MAP 8 3850 podporujících standardy a / b / g. Dalších 8 přístupových bodů typu 3Com MAP 3950 je pak schopno distribuovat síť prostřednictvím standardů a/b/g/n. V současné době je ve špičce připojeno souběžně až 700 uživatelů. Vzhledem k tomu, že technicky je možné souběžné připojení až 500 uživatelů na jedno AP a také díky vestavěnému loadbalancingu je toto řešení více než dostačující. Naopak kritickou částí je konstrukce budovy, která při zajištění plošného pokrytí způsobuje zarušení centrálního atria velkým množstvím vlastních signálů. S těmi se pak neumí vyrovnat jak firmware wifi karet klientů, tak ani automacké nastavení kontrolerů. Obrázek 2.3: 3Com MAP 3850 6 Load-balancing je anglický název pro rozložení zátěže. V případě 3Com MAP se jedná o možnost předání určitého počtu klientů sousednímu přístupovému bodu, jenž není tolik zatížen. 7 IRF vychází z anglické zkratky Intelligent Resilient Framework a umožňuje pokročilé stohování (sjednocování) na bázi virtualizace. 8 MAP je zkratka pro víceúčelový přístupový bod, jenž vychází z anglického Managed Acces Point. Oproti běžnému AP umožňuje například do režimu klient. 28
2.1. Používané technologie 2.1.2 Servery Ačkoliv se v případě NTK jedná počtem zaměstnanců o středně velkou firmu, tak počtem serverů se řadí spíše do vyšší kategorie. To především díky službám, které poskytuje veřejnosti. 2.1.2.1 Fyzické servery Fyzických serverů je k dnešnímu dni (01.4.2012) čtyřicet jedna. Většina z nich je typu HP ProLiant BL460c ve verzi g5 a g6 a jsou využívány pro klíčové systémy. Virtuální servery běží fyzicky na HP ProLiant BL680c g5. Dohledové aplikace (management console) hostí servery HP ProLiant DL320 a k testování slouží servery typu Intel Alief. O diskové pole HP EVA 6100 se stará server HP ProLiant DL360. Služba itv pro stream a data je k dispozici na HP ProLiant DL380. A posledními zástupci jsou servery typu Intel SR1400 či SR1600, jež jsou využívány k logování, anebo také jako zázemí pro Groupwise NOVELL. Všechny servery Intel pomalu dosahujé konce své životnosti a v rámci homogenizace prostředí budou nahrazovány virtuálními stroji. Detailní popis fyzických serverů včetně IP adres, DNS jmen a operačních systémů uvádí Příloha A: Detailní seznam fyzických serverů. Rychlý náhled pak poskytne tabulka 2.1 Obrázek 2.4: Servery HP ProLinat BL680c a 460c 29
2. Analýza současného stavu Tabulka 2.1: Rychlý seznam fyzických serverů Fyzický server # Běžící systémy Operační systémy HP ProLiant BL460c g5 10 virtualbox, backupserver, kamerový systém, LDAP, IDM Tomcat, OracleDB HP ProLiant BL460c g6 9 KVM, safeq, Terminálové služby HP ProLiant BL680c g5 6 VMWare, XEN, MS SQL HP ProLiant DL320 3 SetTopBox, Management console Intel Alief XX 3 Testovací prostředí pro systémy HP ProLiant DL360 1 Správa diskového pole HP ProLiant DL380 1 itv Debian 5 Intel H1260 1 Logovací server CentOS Intel SR1400 1 Groupwise NOVELL SLES 10 RHEL 5 (7x), Windows 2003 (2x), Solaris 10 (1x) Windows 2003 (4x), RHEL 5 (3x), RHEL 6 (3x) RHEL 5 (3x), VM- Ware (2x), Windows 2003 (1x) Debian 5 (1x), Windows 2003 (1x), RHEL 5 (1x) RHEL 5 (3x) Windows 2003 Intel SR1600 1 Testovací prostředí RHEL 5 Shibboleth Dell PowerEdge XX 1 Správa EKV XX 2.1.2.2 Virtuální servery U virtuálních serverů je situace co do počtu ještě rozmanitější. Celkem se používá 66 virtuálních serverů a to na třech typech virtuálních strojů. Největší zastoupení má Xen, který je rozložen na 3 nody zapojené do HA clusterů 9 a hostuje 39 systémů. Dalšími jsou pak VMWare s 21 systémy. Poslední je Kernel Virtual Machine s šesti systémy. Postupně se však na KVM migruje z VMWare a s výhledem dvou let se na ní přesune i XEN. Přehled virtuálních strojů ukazuje tabulka 2.2. Detailní přehled i s hostovanými systémy, jejich operačními systémy, IP adresy apod. uvádí Příloha B: Detailní seznam virtuálních serverů a hostovaných systémů. 9 High Availability cluster je anglický název pro skupinu počítačů, u kterých je očekávána vysoká dostupnost (a minimální down-time) 30
2.1. Používané technologie Virtuální stroj Tabulka 2.2: Seznam virtuálních strojů Hostovaných systémů Hardware XEN 39 HP ProLiant BL680c g5 3 VMWare 21 HP ProLiant BL680c g5 2 KVM 6 HP ProLiant BL680c g6 2 Počet nodů v clusterů 2.1.2.3 Serverové operační systémy Jak nám demonstruje tabulka 2.3, klíčovou platformou je Red Hat Enterprise Linux v5. Nejenže poskytují vhodné podmínky pro virtualizaci, ale svou roli hraje také licenční politika. Dnes je na serverech RHEL převážně ve verzi 5.6 5.8. Dalším operačním systémem je MS Windows 2003 Server. Důvod, proč tehdy již dostupné MS Windows 2008 servery nebyly použity je prostý používané aplikace byly tehdy certifikované pro běh na Windows 2003 serverech a také to, že Windows 2008 plně nepodporuje NT doménu, jenž je v heterogenním prostředí NTK využívána. Ostatní OS mají spíše minoritní zastoupení a jsou použity hlavně kvůli kompatibilitě se systémy, které jsou na nich provozovány. Tabulka 2.3: Seznam OS instalovaných na servery OS Red Hat Enterprise Linux 5.X 47 Windows 2003 15 Red Hat Enterprise Linux 6.X 14 Debian 6 9 SUSE Linux Enterprise Server 11 4 SUSE Linux Enterprise Server 10 3 CentOS 2 Debian 5 2 VMWare 2 Windows 2008 2 Solaris 10 1 Windows XP 1 Počet 2.1.3 Pracovní stanice Protože NTK je organizace ve státní správě, muselo být pro objednání počítačů pro více než 150 zaměstnanců provedeno výběrové řízení. Jak je patrné z předchozích kapitol, většinu těchto soutěží vyhrála v posledních pěti 31
2. Analýza současného stavu letech společnost Hewlett-Packard. Proto i všech 253 stanic nese logo této společnosti. 2.1.3.1 Hardware Dodávka byla rozdělena do tří období a nahrazuje dosluhující počítače Fujitsu-Siemens Esprimo z roku 2006. V roce 2008 společnost HP dodala 100ks pracovních stanic HP Compaq dc7800sff s operačním systémem Windows XP. Ty byly určené především zaměstnancům. V roce 2010 pak proběhla instalace 80ks počítačů HP xw4600 typu Workstation do místních studoven. A naposledy, v roce 2011, bylo dodáno 63ks HP Compaq Elite 8200SFF a 10ks HP Compaq Elite 8200CMT s operačními systémy Windows 7. V obou případech se jednalo o modernizace zaměstnaneckého počítačového parku, kdy bylo možné vyřadit značně přesluhující počítače z let 2002 až 2005. Tabulka 2.4: Pracovní stanice v NTK HW OS Rok pořízení # Cílová skupina HP Compaq dc7800 SFF Windows XP 2008 100 zaměstnanci HP xw4600 workstation Windows XP 2010 80 studovny HP Compaq Elite 8200 SFF Windows 7 2011 63 zaměstnanci HP Compaq Elite 8200 CMT Windows 7 2011 10 zaměstnanci Obrázek 2.5: Současné počítače - HP Compaq 8200(zaměstnanci) a HP xw4600 (studovny) 32
2.1. Používané technologie 2.1.3.2 Software Základní softwarovou výbavu můžeme rozdělit do dvou kategorií a to do roku 2011 a od roku 2011. Starší instalační balík obsahuje operační systém Windows XP, kancelářský software MS Office 2003 Standard (výjimečně u 20ks MS Office 2007 Professional) a antivirový systém Kaspersky Endpoint Security 8 for Windows. Od roku 2011 jsou pak počítače předávány s MS Windows 7, kancelářským balíkem MS Office 2010 Professional a antivirový systém zůstává zachován, tudíž Kaspersky Endpoint Security 8 for Windows. V obou případech jsou počítače připojeny do Novell domény a spravovány pomocí Novell ZENworks Suite. Mimo doménu se počítače hlásí pouze ke službě SAMBA, která zajišťuje centrální tiskové fronty. 2.1.4 Terminály 2.1.4.1 Hardware Ve studovnách jsou kromě plnohodnotných pracovních stanic instalovány také terminály. Konkrétně 165ks tenkých klientů HP T5540Thin připojených přes RDP 10 k terminálové službě. Klienti podporují připojení dvou USB zařízení a obsahují také audio vstup a výstup (ten však není z důvodu možného hluku podporován). Obrázek 2.6: Tenký klient HP T5540 Thin 10 RDP vychází z anglického Remote Desktop Protocol a jedná se o protokol poskytující připojení k tzv. vzdálené ploše (využíván v OS MS Windows) 33
2. Analýza současného stavu 2.1.4.2 Software Terminálové služby jsou poskytovány pomocí MS Windows 2003 Terminal Server se 165 licencemi DeviceCAL a několika UserCAL určených pro administrátory. Ověřovací autorita je v tomto případě Samba, jejíž server je provozán na RHEL 5 HA clusteru. Údaje jsou uloženy ve struktuře LDAP 11, řízené systémem IDM 12. Samotná bezpečnostní politika terminálových služeb je řízena přes Windows NT System Policy. Po přihlášení uživatele k terminálovému serveru je k dispozici balík aplikací, který obsahuje internetové prohlížeče Internet Explorer 8 a Mozilla Firefox v aktuální verzi; kancelářský balík Open Office; Adobe Acrobat Reader v aktuální verzi a prohlížeč obrázků IrfanView. Samozřejmostí jsou typické součásti Windows jako poznámkový blok, kalkulačka, malování apod. 2.1.5 Tiskárny Pro své zákazníky zřídila NTK i několik multifunkčních tiskáren, které umožňují uživatelům po přihlášení (zadáním PINu či přiložením karty) tisknout, kopírovat či skenovat. Data o uživatelích jsou získávána přes OpenLDAP a díky propojení platebního systému s aplikací pro správu tiskáren SafeQ, je možné dané služby zpoplatnit. Celkem se v NTK vyskytuje 33 multifunkčních tiskáren, z toho 15ks je barevných typu HP Color LaserJet CM6030MFP a 18ks černobílých typu HP LaserJet m4345. Oba typy tiskáren jsou napojeny na doménu Samba a spravovány systémem SafeQ. Z historických důvodů a ve výjimečných případech jsou využívány i lokální tiskárny typu HP LaserJet 1200, 2200, 4500 a 4800. Postupně však dochází k jejich likvidaci a přesunu tiskových úloh na nízkonákladové multifunkční tiskárny. 2.2 Používaný software V této kapitole nás bude zajímat Software, jenž je z hlediska bezpečnosti mnohdy rizikovější, než samotný hardware. V NTK se využívá přes 50 softwarových produktů a mít přehled o každém z nich je pro 9 zaměstnanců z oddělení provozu IT nelehký úkol. Zajímat nás proto bude především správa daného SW. Obecně lze tvrdit, že u těch aplikací / systémů, kde je použit globální účet správa, je bezpečnostní riziko největší. To z toho důvodu, že je mezi celým IT týmem udržováno jedno uživatelské jméno s neměnným heslem, užívané již od roku 2009, kdy byla zprovozněna nová serverovna. A to 11 Lightweight Directory Access Protocol je protokol, který uchovává informace v adresářové struktuře. 12 IDentity Management je systém umožňující centralizovanou správu identit a následnou distribuci těchto identit do dalších systémů. 34
2.2. Používaný software Obrázek 2.7: Veřejné tiskárny HP Color LJ CM6030MFP a HP LJ M4345 bez ohledu na to, že se část personálního obsazení oddělení IT provozu může měnit. Aplikační park celkově můžeme rozdělit na robustní systémy a drobné systémy / aplikace. V tomto duchu rozčleníme i tuto kapitolu. K operačním systémům se už nebudeme vracet, poněvadž jsme se o nich zmínili už dříve. Jen bych připomněl, že o serverech a operačních systémech pojednává Příloha A: Detailní seznam fyzických serverů a Příloha B: Detailní seznam virtuálních serverů a hostovaných systémů. 2.2.1 Systémy Jak už bylo řečeno výše, v našem názvosloví jsou systémy robustními aplikacemi, jež ke svému běhu vyžadují napojení na jiné aplikace, databáze či systémy. Takových najdeme v NTK celkem sedm. 2.2.1.1 Systém IDM IDM neboli Identity Management slouží ke správě identit (dle architektury Sun Identity Management). Jedná se tak o procesy související s vytvářením, úpravou, smazáním nebo třeba blokací identit. Ty jsou uloženy v centrální databázi identit (CDBI). Tento systém distribuuje informace i do dalších systémů namátkou například platebním systémem, rezervačním systémem, Aleph, OpenLDAP, aj. Na obrázku 2.8 13 je vidět systém přenosu identit a autorizace uživatelů. 13 převzat ze zdroje [15] a to s výslovným svolením autora 35
2. Analýza současného stavu Obrázek 2.8: Schéma přenosu identit a autorizace uživatelů 36 CDBI Popis: Jedná se o centrální databázi identit, jenž udržuje informace o všech identitách. Přístup správce: Je použit globální účet správa. Mezi skupinu správců patří také výrobce aplikace.
2.2. Používaný software Sun IDM Popis: Systém pro správu identit osob působících v NTK. Přístup správce: Více správců, kde každý má svůj vlastní účet. Mezi skupinu správců patří také dodavatel aplikace. WA Registrace Popis: Webová aplikace registrace slouží jako nástroj ke zdroji či změnám dat o identitách. Ty jsou poté uloženy do CDBI. Přístup správce: Je použit globální účet správa. Mezi skupinu správců patří také výrobce aplikace. 2.2.1.2 Knihovní aplikace a systémy Nedílnou součástí knihovny je bezesporu knihovní systém. Ten v NTK je natolik rozmanitý, že jej tvoří celkem 6 podsystémů. Dohromady vytvářejí zázemí pro poskytování služeb čtenářům v rámci základního smyslu činnosti knihovny. Na jednotlivé podsystémy se nyní podíváme detailněji. SFX Popis: SFX je systém, který zajišťuje koncentraci doplňujících služeb (na základě OpenURL) k vybranému zdroji (publikace, časopis aj.). Přístup správce: Správce této aplikace má vytvořen systémový účet s právy sudo 14. Aleph Popis: Aleph je hlavní část knihovního systému, jenž se stará o katalogizaci, výpůjčky a funkcionalitu akvizic. Zde je použit systém Aleph 500 ve verzi 20. Přihlášení uživatelů: Ověření identity přes IdM, k autentizaci využit OpenLDAP a Shibboleth. Přístup správce: Více správců využívajících pro přihlášení systémový účet, u kterého je možné využít práv sudo. Mezi skupinu správců patří také dodavatel aplikace. Portal Popis: Pod tímto názvem jsou ukryty vlastní webové stránky (resp. jejich logika). Přihlášení uživatelů: K autentizaci využit OpenLDAP a Shibboleth. Přístup správce: Více správců, kde každý má svůj vlastní účet. 14 Sudo je příkaz používaný u operačních systémů Linux a umožňuje vykonat následující příkaz s administrátorským oprávněním (superuživatele) 37
2. Analýza současného stavu Kramerius Popis: Jedná se o systém zpřístupňující naskenované archivní dokumenty. Přístup správce: Více správců využívajících pro přihlášení systémový účet. Katalog STM Popis: Katalog STM je katalog informačních zdrojů (zakoupených z prostředků programu LI 2000-2003) z oborů přírodních věd, techniky a lékařství. Systém vznikl na základě projektu MŠMT. Přístup správce: Systém v současné době nevyžaduje správu anebo není využíván. EZ Proxy Popis: EZ Proxy umožňuje čtenářům autentizaci a autorizaci za účelem přístupu k externím či placeným zdrojům. Přihlášení uživatelů: K autentizaci využit Shibboleth. Přístup správce: Více správců, kde každý má svůj vlastní účet. Zároveň je však použit i globální účet správa. 2.2.1.3 Platební systém Systém pro správu peněžních účtů a provozování plateb za služby NTK, zahrnující jak vlastní evidenci, tak také rozhraní pro systém pokladem. Zároveň umožnuje napojení na další subjekty, jako jsou banky apod. Platební systém zastřešuje v případě NTK systém ifis, využívající databázi typu Oracle. ifis Popis: Zajišťuje platební styk se zákazníky knihovny a je napojen na knihovní systém aj. Obecně zajišťuje správu dat ekonomického úseku. Přihlášení uživatelů: Ověření identity přes IdM, k autentizaci využit OpenLDAP. Přístup správce: Správce této aplikace má vytvořen vlastní účet. Mezi správce aplikace patří také výrobce. 2.2.1.4 Rezervační systém Za účelem efektivní správy rezervací fyzických zdrojů NTK slouží rezervační systém. Ten s využitím vazby na platební systém umožňuje registrovaným uživatelům provádět placené rezervace, ale také jim nastavovat vstup například do rezervovaných učeben / místností a to díky propojení se systémem EKV. 38
2.2. Používaný software Verso Popis: Základem rezervačního systému je systém Verso, obsahující modul rezervace. Verso je složeno z komponent jádro a systém a pro ukládání dat využívá Oracle databázi. Přihlášení uživatelů: Autorizaci i autentizaci zajišťuje Shibboleth. Přístup správce: Správce této aplikace má vytvořen vlastní účet. Mezi správce aplikace patří také výrobce. 2.2.1.5 Tiskový systém Tiskový systém založený na aplikaci SafeQ poskytuje zákazníkům NTK tiskové, kopírovací a skenovací služby. Vše je nastaveno tak, že uživatel přidá svou úlohu do tiskové fronty a na dané tiskárně se úloha po přihlášení do terminálu SafeQ vytiskne. Jelikož je využito napojení na platební systém, je možné si za poskytovanou službu účtovat poplatek, který bude stržen uživateli z konta. SafeQ Popis: Systém SafeQ se stará o správu tiskových služeb a komunikaci s okolními systémy. Přihlášení uživatelů: Přihlášení probíhá v rámci OpenLDAP. Přístup správce: Více správců využívajících pro přihlášení systémový účet. Web JetAdmin Popis: Aplikace Web JetAdmin slouží jako nástroj ke správě a údržbě tiskáren HP. Přístup správce: Více správců využívajících pro přihlášení systémový účet. 2.2.2 Aplikace Systémy používané v NTK jsme si již popsaly a nyní si ještě shrneme ty nejzajímavější aplikace. Kompletní seznam software pak popisuje Příloha C: Detailní seznam používaného software. 2.2.2.1 AuditPro Popis: Jedná se o software, který je určen pro provádění především softwarového auditu. Zároveň však dokáže monitorovat činnost uživatelů, vytvářet reporty nejčastěji používaných aplikací, poskytuje rozhraní pro službu helpdesk aj. V NTK však funguje pouze jako nástroj ke správě licencí. Přístup správce: Správce této aplikace má vytvořen vlastní účet. 39
2. Analýza současného stavu 2.2.2.2 GroupWise Popis: Jedná se o sadu komunikačních nástrojů a prostředků pro týmovou spolupráci od společnosti Novell. Přístup správce: Pro přístup na server s aplikací je použit globální účet správa, k aplikaci se však používá účet administrator domény NOVELL. Mezi skupinu správců patří také dodavatel aplikace. 2.2.2.3 GWAVA Popis: Gwava je soubor bezpečnostních nástrojů pro Novell GroupWise. Obsahuje například antispamovou ochranu či antivir. Přístup správce: Pro přístup na server s aplikací je použit globální účet správa, k aplikaci se však používá účet administrator domény NOVELL. Mezi skupinu správců patří také dodavatel aplikace. 2.2.2.4 HP DataProtector Popis: Jedná se o nástroj pro automatickou zálohu a obnovu dat v korporátní sféře. Přístup správce: Správce této aplikace má vytvořen vlastní účet. Zároveň je však použit i globální účet správa. 2.2.2.5 NOES Popis: Novell Open Enterprise Server poskytuje souborové a hlavně tiskové služby uživatelům pracovních stanic v doméně Novell. Přístup správce: Správce se do NOES přihlásí přes administrátorský účet v Novell edirectory. 2.2.2.6 OpenLDAP Popis: Jde o adresářovou službu na bázi LDAP, která eviduje lidi a karty v NTK. Přístup správce: Je použit globální účet správa. Mezi skupinu správců patří také dodavatel aplikace. 40
2.3. Skupiny uživatelů 2.2.2.7 freeradius Popis: Systém freeradius umožňuje autorizaci a ověření přístupů uživatelů k síťovým službám. Přístup správce: Je použit globální účet správa. Mezi skupinu správců patří také dodavatel aplikace. 2.2.2.8 Shibboleth Popis: Shibboleth je služba, která po autentizaci uživatele ke své domácí organizaci dovolí přistupovat ke zdrojům dat (například webové stránky) organizace jiné. Ta však musí tuto metodu autentizace podporovat. Přístup správce: Je použit globální účet správa. 2.2.2.9 VPK Popis: Virtuální polytechnická knihovna je distribuovaný systém, kde NTK provozuje server a knihovny přes své klientské aplikace vytvářejí požadavky na provedení digitalizace. Základní myšlenkou je tedy poskytování kvalitního obsahu uživatelům bez nutnosti fyzické návštěvy knihovny. Přístup správce: Správce této aplikace má vytvořen vlastní účet. 2.2.2.10 Web Portál Popis: Jedná se o redakční systém, díky kterému jsou publikovány informace i aktivní obsah a to jak na veřejné internetové stránky knihovny, tak i na ty intranetové. Přihlášení uživatelů: Přihlášení zajišťuje Shibboleth a údaje jsou stažena z LDAP. Přístup správce: Více správců, kde každý má svůj vlastní účet. 2.3 Skupiny uživatelů V NTK se můžeme z pohledu IT setkat s několika typy uživatelů. Pro každý druh uživatele platí jiná omezení a je tedy vhodné si tyto typy definovat. Až na vyjímky využívají všechny aplikace informace o identitách ze systému IDM. 41
2. Analýza současného stavu 2.3.1 Anonymní uživatel (studenti a zaměstnanci vysokých škol) Anonymní uživatel je takový uživatel, který není veden v databázi čtenářů, avšak má přístup do budovy na základě spolupráce s ČVUT a VŠCHT. Takoví uživatelé používají své univerzitní identifikační karty k přístupu do prostor NTK. Využívá se tak systémů správy identit vysokých škol, ze kterých se NTK předá pouze minimum dat (seriové číslo karty, číslo přístupového oprávnění a příznak "student"). Tito uživatelé nemají přístup k žádným z poskytovaných služeb NTK. Cílem této skupiny je především návštěva univerzitních knihoven a kanceláří v prostorách NTK. Riziko takového uživatele je tedy minimální. 2.3.2 Host (návštěva, externí spolupracovník) Hostem je takový uživatel, kterému se oproti finanční záloze propůjčí vstupní karta. Tím může být například externí spolupracovník nebo návštěva. Opět je požadováno minimální množství dat - jméno, přijmení, titul, číslo karty a její PIN, platnost karty a přístupová skupina vrámci systému elektronické kontroly vstupu. Hosté využívají především vstupů do zaměstnaneckých zón či skladů. I u této kategorii jsou rizika minimální. 2.3.3 Zákazník (čtenář) Po zaplacení členských poplatků a zavedením uživatele do systému přes aplikaci Registrace, vznikne tzv. registrovaný uživatel. O něm je však potřeba zadat údajů více - jako například uživatelské jméno a heslo, číslo osobního dokladu, adresa bydliště aj. Narozdíl od anonymního užviatele však může využívat všechny veřejné služby. Má možnost se připojit do sítě NTK, využívat místní kiosky a po složení určité částky na své konto v platebním systému i tiskové služby. Rizik, která mohou u registrovaných uživatelů vzniknout, je hned několik. Od zatížení internetové linky (Wifi hot-spotu), přes DoS 15 útok, až po šíření škodlivého software přes kiosky. Šance na dopadení je však poměrně vysoká, protože většina těchto systémů vyžaduje přihlášení. To nám zajistí, že dotyčnou osoba lze poměrně snadno dohledat. 2.3.4 Zaměstnanec Zaměstnanec je typ uživatele velmi podobný čtenáři. Rozdíl je pouze v tom, že se dostane i ke službám, aplikacím a zdrojům, které nemusí být veřejné. Navíc je zaměstnancům ještě vytvořena identita v systému Aleph, Novell NetWare a Novell GroupWise - u nich se totiž implementace správy identit pro 200 zaměstnanců finančně nevyplatí. 15 DoS neboli Denny of Service je takový typ útoku, kdy se útočník pokusí daný systém zahltit požadavky tak, aby už nemohl být obsloužen jiný klient a systém následně zkolaboval. 42
2.4. Závěr analýzy Oproti rizikům u registrovaných uživatelů přibývá ještě nebezpečí v podobě instalace nepovoleného software, použití prostředků k jinému než pracovnímu účelu nebo také zneužití pravomoci v daném systému. 2.3.5 Administrátor Jedná se o speciální typ zaměstnance pracujícího v oddělení provozu IT. Jejich primárním úkolem je plynulý běh ICT aplikací, nástrojů a služeb, jenž jsou denně využívány zaměstnanci a poskytovány zákazníkům. Díky superuživatelské role jsou pak daný systém či aplikaci schopni denně monitorovat či konfigurovat. Lidé ze skupiny administrátorů jsou většinou obezřetní a znají systém, který spravují. Riziko však existuje v případě nasazení nového systému, kdy administrátor není řádně proškolen. Další potenciální nebezpečí může vyvolat (nucený) odchod zaměstnance, kdy díky získaným znalostem a přístupovým klíčům může danou organizaci poškodit - například neoprávněným přístupem do systému a následným zveřejněním dat. Abychom tomu zabránili, je nutné dodržovat obecné zásady bezpečnosti. 2.4 Závěr analýzy Po provedení komplexní ICT analýzy v NTK jsem narazil na některá slabá místa. 2.4.1 Z pohledu technologií a OS Co se týče síťové infrastruktury, klíčovým prvkem je coreswitch. Ten je sice zapojen redundantně (vč. záložního spoje) a částečně tak odolný proti selhální, avšak rozvody z něj nejsou symetricky rozděleny. Dalším slabým místem může být neexistence seznamu serverů včetně provozovaných systémů a zodpovědných osob. Některé servery navíc dosluhují a již u nich není platná záruka. To stejné se týká vybraných pracovních stanic. Nejednotné jsou také aktualizace operačních systémů instalovaných na serverech. S tím mohou být spojena bezpečnostní rizika, vzniklá známými problémy v daných verzích OS. 2.4.2 Z pohledu software Díky systému pro správu identit je z pohledu přihlašování a ověřování uživatelů riziko minimální. Problém však nastává u přístupů, na které IdM neplatí. To se týká především správy aplikací, u kterých je použit jeden administrátorský účet známý všem zaměstnancům oddělení provozu IT. I v případě software bohužel neexistuje jeho detailní seznam včetně dodavatelů, odpovědných osob či serverů, na kterých běží. 43
2. Analýza současného stavu K dalšímu problému se dostáváme po té, co se s administrátorským účtem přihlásím do OS, ve kterém daný systém běží. Správce serveru tím totiž získá přístup do konfiguračních souboru systému, odkud může heslo vyčíst nebo změnit. Dojde tak k napadení aplikační vrstvy z úrovně OS. Posledním bodem je minimální využití aplikace AuditPro, která dovoluje monitorování pracovních stanic a jejich uživatelů. Vzhledem k ceně licence, která se v takto velkém počtu pracovních stanic pohybuje okolo 150 000,- Kč, je pomerně škoda, že se nevyužívá plný potenciál aplikace. 44
KAPITOLA 3 Praktická část Abych se nespoléhal pouze na své zkušenosti a informace získané od vedoucího provozu IT, pana Ing. Václava Jansy, provedl jsem analýzu sítě pomocí volně dostupného nástroje, který je pro nekomerční užití zdarma. Díky němu jsem nalezl jak nám již známá slabá místa, tak i dříve neobjevené či zapomenuté problémy. 3.1 Použitý software Za účelem hloubkové analýzy zabezpečení byl vyvinut nástroj Nessus od společnosti Tenable Network Security. Tento velmi užitečný software je možné používat pro domácí účely zdarma a to stažením z následující adresy: http://www.nessus.org/products/nessus/nessus-download-agreement. V době psaní této diplomové práce (duben 2012) byla aktuálně k dispozici verze 5.0.1, kterou byla i analýza prováděna. Nástroj Nessus pracuje na principu klient-server, kdy klientem je internetový prohlížeč připojený na serverovou část, která je jádrem celé aplikace. Zároveň je využíváno tzv. modulů, kde každý má své specifické oblasti a parametry testování. Příkladem modulů může být ten, který testuje otevřené porty, jiný zkouší defaultní hesla, další zase testuje přístup k DNS apod. Přes klienta tak lze ve webovém rozhraní nastavit rozsah testu, typ testu, aktivovat příslušné moduly a provádět další konfigurace. Tento síťový scanner, umí monitorovat jak konkrétní počítač, tak i celé sítě. 3.2 Příprava na bezpečnostní analýzu Z důvodu velkého množství zařízení v síti NTK jsem k provedení analýzy využil dva notebooky, na které jsem nainstaloval jak klientskou, tak serverovou 45
3. Praktická část část. K testování jsem využil služeb všech modulů. Jelikož jsem měl k dispozici i kompletní seznam podsítí (VLAN), mohl jsem provádět testy v konkrétních sítích s konkrétní maskou (tj. test neprobíhal náhodně). 3.3 Analýza sítě z veřejně dostupných přístupových bodů 3.3.1 Průběh analýzy Abych dosáhl co nejvěrnější pozice útočníka, použil jsem k testování veřejně dostupné přístupové body. Jednalo se tedy o bezdrátové sítě NTKSimple a studentské sítě Eduroam. V prvním případě bylo potřeba zadat registrační údaje do NTK, v případě Eduroam pak posloužil přednastavený účet z fakulty informačních technologií ČVUT. Jelikož je jednotlivých VLAN v řádech desítek, před samotným testem nástrojem Nessus, jsem si aplikací Dude 16 v4 otestoval, zda-li jsou z mé sítě v dané VLAN vůbec nějaká zařízení viditelná. A to z toho důvodu, že i test prázdné sítě trvá za použití nástroje Nessus přibližně 20minut 17. Ve fázi testování sítě jsem aplikaci Nessus nastavil tak, aby použila všechny dostupné moduly. Abych dosáhl co nejkomplexnějších výsledků, spustil jsem analýzu pojmenovanou jako příprava na PCI-DSS audit, jejíž test dosahuje u téměř dvaceti stanic přibližně čtyř hodin (při připojení přes bezdrátovou síť). 3.3.2 Výsledek analýzy Ačkoliv jsem se dostal z veřejných přístupových bodů pouze do dvou sítí (VLAN), jednalo se právě o ty nejzajímější - tedy takové, kde jsou servery poskytující služby. K mému překvapení však žádné zásadní nedostatky objeveny nebyly. Co se týče portů, byly otevřené pouze ty, které jsou pro provoz služeb potřebné. A z pohledu možných bezpečnostních rizik stojí za zmínku snad jen neaktualizovaná verze programu poskytující běh webových služeb či operační systém, u něhož skončila podpora ze strany vydavetele. Detailní výstup provedené analýzy je k dispozici jako Příloha D: Výsledek skenování sítě aplikací Nessus v5. Nejdete v něm soupis všech nedostatků včetně míry rizikovosti, seznam hostů a všechny otevřené porty. 16 Dude je aplikace od společnosti MikroTik, která slouží k monitorování sítě. K dispozici zdarma z adresy: http://www.mikrotik.com/thedude.php 17 V závislosti na zvoleném typu připojení - v tomto případě se jednalo bezdrátové připojení v pásmu G. 46
3.4. Analýza sítě bez omezení firewallem Obrázek 3.1: Webové rozhraní Nessus - parametry prováděného testu (u náhodné sítě) 3.4 Analýza sítě bez omezení firewallem Díky nabídce ze strany vedoucího provozu IT, jsem dostal možnost spustit test i ze sítě, kam mají přístup pouze správci. Jen bych připomněl, že aby se potenciální útočník do této sítě dostal, musela by být jeho MAC adrese nastavena vyjímka ve firewallu. Podvrhnutí této podmínky není nikterak jednoduché, protože dostat se do této VLAN je z veřejných přístupových bodů nemožné, natož tak provádět odsposlechy. 3.4.1 Průběh analýzy Při provádění testu v síti neomezené firewallem jsem byl připojen metalickým gigabitovým spojem, takže testování stovek zařízení probíhalo o něco rychleji. Navíc díky garantovanému přístupu kamkoliv již nebylo nutné dělat počáteční průzkum aplikací Dude. Opět jsem ve fázi testování povolil všechny moduly, tentokrát jsem však spustil analýzu pojmenovanou jako test vnitřní sítě, která provádí test nejčastějších prohřešků. A to především proto, že v této síti již nebylo potřeba testovat všechny porty a dělat hloubkovou analýzu, která by u každé VLAN byla časově velmi náročná. 3.4.2 Výsledek analýzy Jak už bylo řešeno výše, otestoval jsem takto všechny VLANy. Výsledky analýzy byly daleko zajímavější. Počet kritických problémů již nebyl zanedbatelný. 47
3. Praktická část Mezi nejčastější problémy patřilo například používání defaultních přístupových údajů, neaktualizované verze důležitých systémů, povolené účty host, jednoduše odhadnutelné názvy SNMP, nenainstalované důležité patche aj. Naopak otevřených portů bylo opět minimum, s výjimkou testovací sítě (kde se testuje nasazení nových systémů a aplikací). Detailní výstup z tohoto typu analýzy není součástí této práce a to z toho důvodu, že se jedná o testy sítí, kam nemá neautorizovaná osoba přístup. Obrázek 3.2: Webové rozhraní Nessus - přehledný výsledek testu (u náhodné sítě) 48
KAPITOLA 4 Návrh pravidel bezpečnosti V závěru druhé a třetí kapitoly jsem zhodnotil analýzu a poukázal na některá slabá místa. V této kapitole se budu věnovat řešením těchto problematických částí. Zároveň uvedu základní předpoklady a doporučení pro zabezpečení ICT služeb. A to z pohledu zabezpečení sítě, zabezpečení operačních systémů, definování bezpečných přístupu a také bezpečnosti a monitorování provozu. 4.1 Zabezpečení sítě Základním stavebním prvkem komunikace mezi více počítače je síť. Začneme tedy návrhem bezpečnostních opatření právě jí. 4.1.1 Zabezpečení síťových zařízení Prvním předpokladem zabezpečení síťových zařízení je, že tato zařízení by měli být vždy umístěny tak, aby nebyla lehce přístupná veřejnosti. V případě NTK je celé serverové zázemí umístěnu v suterénu a jednotlivé přepínače v patrech mají vlastní oddělenou místnost. Tím je garantován přístup pouze odpovědných osob. Jediným potenciálním problémem by mohlo být nesymetrické rozdělení na CoreSwitchi, které bylo v minulosti narušeno nutnými úpravami za účelem rozšíření sítě. V současnosti se však chystá nákup šasi HP 7510 (dříve také označováno jako 3com S7910) a doplnění 48 portové karty, které opět zajistí symetrické rozdělení sítě. 4.1.2 Zabezpečení proti neoprávněnému vniknutí do sítě Protože je síť NTK rozdělena do jednotlivých VLAN, má potenciální záškodník přístup pouze do tří sítí první je ta ve které se přihlásil, druhou je tzv. 49
4. Návrh pravidel bezpečnosti síť DMZ (kde jsou servery poskytující část služeb) a třetí je tzv. síť DMZL, ve které jsou servery poskytující zbývající část veřejných služeb. Lze tedy konstatovat, že z pohledu přístupu je síť zabezpečena dostatečně. Pokusí-li se škůdce připojit do sítě nějakou jinou, neoficiální cestou (např. připojením LAN kabelu z veřejných terminálů do svého notebooku), také neuspěje. Jednotlivým zařízením je totiž poskytována IP adresa na základě ověření MAC adresy. A i kdyby byl použit software na klonování MAC adres, opět by byl získán přístup pouze do sítí DMZ a DMZL. I v tomto případě jsou tedy dodržována doporučení pro vysokou míru zabezpečení. 4.1.2.1 Zabezpečení 802.1x Budeme-li chtít zabezpečit přístup do sítě silnějšími bezpečnostními prvky, je vhodné použít zabezpečení typu 802.1x. Tento typ zabezpečení spočívá v tom, že při pokusu počítače o spojení s přístupovým bodem, jej AP vyzve, aby se autentizovalo protokolem EAP 18. Po předání pověření počítače (nebo uživatele) přístupovému bodu dojde k jeho přeposlání na server Radius 19. Ten následně zjistí, zda-li má daný počítač či uživatel právo na přístup do sítě a podle toho odešle příznak přístupovému bodu. Je-li tedy klient správně autentizován, AP otevře v přepínači port, kterým povolí klientovi přístup do sítě. V opačném případě je zařízení (uživateli) přístup do sítě zapovězen. Ověřování v sítích 802.1x popisuje obrázek 4.1. Slabým místem tohoto zabezpečení je fakt, že ověřování probíhá pouze na začátku komunikace - přidá-li útočník před komunikující zařízení rozbočovač, může po drobných úpravách získat přístup do sítě také. Tomuto lze však částečně zabránit nastavením opakovaného ověřování i v průběhu komunikace. V současnosti je v NTK tato metoda ověřování v pilotním provozu a je testováno pouze na vybraných podsítích. Obrázek 4.1: Schéma ověřování 802.1x 18 z anglického Extensible Authentication Protocol definuje protokol umožňující rozšířené možnosti autentifikace 19 Remote Authentication Dial-In User Service je služba umožňující vzdálené ověření uživatele či zařízení a definující přístup 50
4.1. Zabezpečení sítě 4.1.3 Zabezpečení portů Obecně je doporučeno zakázat přístup ke všem portům, které nejsou bezpodmínečně nutné pro provoz a poskytování služeb. Se stejným přístupem jsem se setkal i v síti NTK. Kromě portů 80, na kterém běží webové servery, portů 443, odbavující TLS 20 server a portů 993 a 995 pro POP3 21 a SMTP 22 server, jsem nenarazil na žádné další bezdůvodně otevřené. 4.1.4 Servery Jak už bylo řečeno dříve, v NTK je v provozu velké množství jak fyzických, tak virtuálních serverů. Na všechny servery typu HP ProLiant je poskytována záruka výrobcem, tedy společnosti Hewlett-Packard. Problém však nastává u serverů typu Intel. Ty jsou svým stářím již mimo záruční krytí a je vhodné od jejich provozování postupně ustupovat. V dalším technologickém plánu je tedy dle doporučení naplánována migrace jejich systémů na virtuální stroje. Stejně tak je v rámci homogenizace prostředí i v plánu sjednocení virtuálních strojů na platformu KVM. Jen připomenu, že v současnosti jsou mimo Kernel-based Virtual Machine využívány i virtuální stroje typu VMWare a XEN. 4.1.4.1 Logovací server Důležitou součástí sítí, ve kterých se vyskytuje velké množství serverů, je logovací server. Ten sbírá údaje z logů okolních serverů (či jiných klíčových zařízení) a umožňuje s nimi přehledně pracovat. Díky němu je pak možné vystopovat i takového útočníka, který záznamy v lokálním logu změní. Nejjednodušší variantou jak takovýto server vytvořit, je použití daemona syslogd (nejlépe v prostředí Red Hat nebo SuSe), který bude přes UDP port přijímat logy od ostatních klientů. Abychom však zabránili zneužití serveru útočníky, je potřeba jej ochránit vhodným nastavením firewallu. Momentálně se v NTK setkáme s logovacím servem, který je pouze ve stádiu implemetace. Přesměrování logů z Unixových stanic je snadné, chceme-li však ukládat logy na vzdálený server i z platforem MS Windows, je potřeba využit služby NTsyslog 23, která nám tuto funkcionalitu přidá. Dalším krokem je vytvoření souhrnu z logů. K tomu poslouží nástroj logwatch 24, jenž automaticky provádí analýzu logů a následně vygeneruje sou- 20 z anglického Transport Layer Security je bezpečnostní protokol, zajišťující šifrovanou komunikaci mezi počítači 21 v angličtině Post Office Protocol verze 3 je protokol sloužící k příjmání emailové korespondence 22 Simple Mail Transfer Protocol je typ protokolu, který se stará o odeslání emailové pošty. 23 Jedná se o volně šířitelnou aplikaci. Ke stažení: http://ntsyslog.sourceforge.net 24 LogWatch je volně šířitelná aplikace. K dispozici na: http://logwatch.sourceforge. net 51
4. Návrh pravidel bezpečnosti hrnou zprávu. V kombinaci s aplikací Swatch 25 pak můžeme logovací server přimět k tomu, aby nás upozornil na vzniklý problém v moment, kdy k němu dojde. Swatch je totiž program, který pravidelně sleduje logy a při výskytu nadefinovaných situací na ně dokáže upozornit (například emailem). Obrázek 4.2: Princip fungování centrálního logovacího serveru 4.1.4.2 Seznam fyzických serverů v síti Abychom mohli zabránit katastrofě v případě napadení a mohli jednoduše identifikovat postižený server, je potřeba udržovat aktualizovaný seznam serverů v síti. V době psaní této práce však žádný takový NTK neměla. Proto jsem vytvořil komplexní seznam serverů, obsahující DNS jméno serveru, jeho IP adresu, operační systém a typ HW. Dále je uveden dodavatel, odpovědná osoba, účet obsahující administrátorská práva a obecný popis toho, k čemu daný server slouží. Nejenže se tímto zlepší přehled o provozovaných zařízení v síti, ale také je nyní jednoduché zjistit odpovědnou osobu, či jakého dodavatele kontaktovat. Tento seznam je dostupný jako Příloha A: Detailní seznam fyzických serverů. 4.1.4.3 Seznam virtuálních serverů v síti Podobně jako u seznamu serverů fyzických jsem postupoval i u virtuálních. Ani v tomto případě nebyl dostupný žádný seznam pokrývající základní údaje o provozovaných virtuálních serverech. Až na typ HW, který jsem u virtuálních serverů nahradil typem virtuálního stroje, jsou všechny atributy totožné se se- 25 Simple WATCH je volně šířitelnou aplikací. Ke stažení: http://sourceforge.net/ projects/swatch/ 52
4.2. Zabezpečení OS znamem fyzických serverů. K dispozici je jako Příloha B: Detailní seznam virtuálních serverů a hostovaných systémů. 4.2 Zabezpečení OS U operačních systémů je vždy potřeba dbát na pravidelné provádění aktualizací, které opravují známé bezpečnostní problémy. Čím je počet OS větší a různorodější, tím je situace náročnější. 4.2.1 Serverové OS V případě NTK je téměř u 50% serverů používán operační systém Red Hat Enterprise Linux 5, který je až na nutnou výjimku (kvůli kompatibilitě aplikace) pravidelně aktualizován. I druhý největší zástupce serverových OS, kterým je MS Windows 2003, prochází pravidelnými aktualizacemi. Naopak u těch minoritně používaných, jako je například SUSE Linux Enterprise (běžící na serveru s funkcí GateWay) či Debian Linux (u serveru společnosti Suweco), je situace horší. V obou těchto případech jsou používany neaktuální verze OS, u kterých mimo jiné skončila podpora ze strany výrobce. Silně zde doporučuji přejít alespoň na takovou verzi, u které je výrobcem stále garantovaná podpora v podobě aktualizací. Pro přehled používaných operačních systémů poslouží i vytvořené seznamy v Příloze A: Detailní seznam fyzických serverů a Příloze B: Detailní seznam virtuálních serverů a hostovaných systémů. Operační systémy, u kterých je doporučována aktualizace z důvodu jejich zastaralosti, jsou vypsány v Příloze D: Výsledek skenování sítě aplikací Nessus v5. 4.2.2 Klientské OS U klientských OS, instalovaných na jednotlivých (převážně zaměstnaneckých) stanicích je situace příznivější. Všechny operační systémy, ať se jedná o Windows XP či modernější Windows 7, jsou automaticky aktualizovány. Nevýhodou je však to, že o aktualizaci žádá a stahuje každá pracovní stanice samostatně. S tím je spojena zvýšená zátěž internetové linky a také zbytečné mnohanásobné stažení jednoho a toho samého souboru s aktualizací. Řešením je instalace služby Microsoft Software Update Services, kterou lze nastavit i v prostředí bez Active Directory 26. Ta vytvoří ve vnitřní síti server, který opravné balíčky stáhne pouze jednou. Všechny pracovní stanice následně přesměrují své požadavky na aktualizace právě na tento server. Tím dojde k eliminaci zatížení vnější linky a také se zabrání situacím, kdy například proxy server 26 jedná se o adresářové služby implementované společnostní Microsoft, umožňující ve skupině počítačů např. nastavovat pravidla, instalovat SW apod. 53
4. Návrh pravidel bezpečnosti nedovolí některým stanicím stažení určitých aktualizačních balíků. Synchronizací služby automatických aktualizací navíc dosáhneme toho, že si všechny počítače z pohledu aktualizací budou rovny. 4.3 Zabezpečení přístupu Dalším, velmi důležitým prvkem, který zabrání mnoha pokusům o proniknutí do systémů či zneužití služeb a dat, je pečlivá konfigurace a dodržování zásad pro vytváření, editaci a rušení přístupů. Ať už se jedná o přístup do místností se servery, k management konzolím či administraci aplikací. Častým problémem, ulehčující nezvaným hostům práci, je ponechání výchozího uživatelského jména a hesla, nedeaktivování uživatele guest, či nedůsledné rušení systémových účtů v případě, kdy společnost opustí zaměstnanec. Se všemi těmito neduhy se potýkají většiny společností, výjimkou nebyla ani NTK. 4.3.1 Zásady pro práci s hesly Prostým dodržováním následujících zásad můžeme riziko zneužití uživatelského účtu eliminovat. Tato doporučení se týká jak uživatelských účtů zaměstnanců (běžných uživatelů), tak i systémových účtů (administrátorů). 4.3.1.1 Základní pravidla Před samotnými zásadami pro používání hesel je dobré si zopakovat i pravidla základní, která taktéž pomohou zvýšit úroveň zabezpečení. Nikdy nikomu neprozrazujte své uživatelské jméno a heslo. Pravidelně své heslo obměňujte. Citlivé údaje vždy zabezpečujte. Ujistěte se, že při zadávání citlivých údajů nejste sledováni další osobou. Nikdy neodpovídejte na hromadné či řetězové emaily. Otestujte všechny příchozí dokumenty antivirovým programem (pokud tak není učiněno automaticky). Nikdy nenechávejte paměťová média s důvěrnými daty (CD, USB flash disky) v otevřené místnosti bez dozoru. Opouštíte-li své pracovní místo byť jen na krátkou dobu, vždy se nezapomeňte odhlásit (ve Windows klávesová zkratka Windows logo + L ). Počítač vždy vypínejte pomocí funkce vypnout nikoliv tlačítkem na počítače (používá se pouze v případě zamrznutí PC). 54
4.3. Zabezpečení přístupu 4.3.1.2 Pravidla pro hesla Přimějete-li uživatele k respektování následujících pravidel pro hesla, riziko odhadnutí hesla útočníkem (či programem) budu téměř nulové. Nikdy neponechávejte aktivní defaultní systémová hesla (nastavená tzv. od výroby ). První heslo by mělo být vždy generováno z náhodných znaků a uživateli předáno bezpečným komunikačním kanálem. Délka hesla by měla být nejméně 8 znaků. Používejte alespoň dvě kombinace velkých a malých písmen, čísel a speciálních ASCII znaků 27. Nikdy nepoužívejte řetězec obsahující skupinu znaků z vašeho uživatelského jména. Nepoužívejte řetězec, který obsahuje tři a více stejných znaků za sebou. Nepoužívejte řetězec obsahující vaše jméno, či další osobní informace (ID zaměstnance, datum narození, SPZ, čísla smluv, domácích mazlíčků, rodinných příslušníků, apod.). Nepoužívejte slova obsažena ve slovnících (např. cizojazyčná slova, slang, žargon, apod.) Nikdy si nenastavujte takové hesla, která jsou uvedena jako příklady hesel v příručkách a manuálech. Heslo by nemělo být používáno déle, než 90 dnů. Nejméně poslední čtyři hesla by měla být naprosto odlišná. Hesla by se za posledních 12 měsíců neměla opakovat. Příkladem bezpečného hesla je: guv39pal@ 4.3.2 Uživatelské účty Jak by mělo vypadat heslo jsem shrnul v předchozí kapitole a teď k vlastním uživatelským účtům. Jelikož je v NTK používána politika NOVELL edirectory, jsou všechny předpoklady pro bezpečnou práci s uživatelskými jmény a hesly splněny. Systém požaduje zahrnutí speciálního znaku do řetězce hesla, obsahuje paměť minulých hesel a nutí uživatele po 180 dnech k jeho obměně. 27 Mezi speciální ASCII znaky patří například následující: #, &, @, R, Ř,,. Mějte však na paměti, že speciální ASCII zanky v heslech nemusí být všemi systémy podporovány. 55
4. Návrh pravidel bezpečnosti Důležitou částí je ale i to, aby při každém ukončení pracovního poměru (nebo dlouhodobé pracovní neschopnosti) správce provedl blokaci účtu. Nebudeli tento proces striktně dodržován, může tak (například nespokojený) bývalý zaměstnanec útočit na systémy, ke kterým měl v minulosti přístup. 4.3.3 Správcovské účty Speciální kategorií uživatelských účtů jsou správcovské účty. Ty mají zpravidla větší pravomoce, než běžný účet a slouží ke konfiguraci software, přidávání práv uživatelům apod. Ne vždy jsou navíc napojeny na centrální správu identit. U těchto účtů by tak dodržování výše uvedených pravidel mělo platit dvojnásob. 4.3.3.1 Problematický účet správa Již v průběhu analýzy jsem zmiňoval, že v mnoha systémech a serverových OS je používán jednotný účet správa. Nejenže jej znají všichni správci, ale heslo je od počátku vybudování IT infrastruktury (v nové budově NTK) stále stejné. Asi není potřeba říkat, že takto by to být nemělo. První otázkou by mělo být, zda-li opravdu všichni z oddělení provozu IT potřebují tento účet znát. V současnosti je v IT zaměstnáno 9 zaměstnanců (jak na částečný, tak plný úvazek) a dalších 7 pracují jako externisti. Od počátku působnosti NTK v nové budově již k personálním změnám v týmu došlo. Proto je potřeba dbát na pravidelné obměně hesel a důrazně rušit účty lidí, kteří již s NTK nemají nic společného. Celou situaci by zpřehlednilo, kdyby se administrátoři rozdělili do skupin (podle systémů, které spravují) a té skupině správců, kteří se primárně starají o servery, by byl nastaven přístup k systémovému účtu správa. Heslo tohoto účtu by se v pravidelných intervalech měnilo a pověřené osoby by se o něm dozvěděli například z elektronické peněženky hesel. Dalším krokem, který by pomohl zprůhlednit procesy provedené účtem správa, by bylo auditování všech provedených činností. Například to, jestli si daný správce nevytvořil zadní dvířka do nějakého z používaných systémů, či nenastavil oprávnění třetí osobě aj. 4.3.3.2 Skupiny administrátorů Jelikož v době psaní této práce nebyl k dispozici žádný seznam administrátorů a ani jejich případné rozdělení do skupin, vytvořil jsem jej sám. Jako podklady jsem použil odpovědné osoby jednotlivých systémů a serverů (viz. Příloha A: Detailní seznam fyzických serverů, Příloha B: Detailní seznam virtuálních serverů a hostovaných systémů a Příloha C: Detailní seznam používaného software). Následnou diskusí s vedoucím útvaru provozu IT, panem Ing. Václavem Jansou, prošlo dané členění validací. Detailní rozdělení správců do skupin je popsáno v tabulce 4.1 56
4.3. Zabezpečení přístupu Tabulka 4.1: Rozdělení pracovníků provozu IT do skupin Název skupiny Uživatel 1 Uživatel 2 Uživatel 3 Uživatel 4 Správci serverů Jansa V. Mazl L. Eminger T. Holub P. Síťoví správci Jansa V. Holub P. Vařecha J. DB specialisti Jansa V. Heicl V. Správci webu Jansa V. Koh O. Koudelka J. Platební systém Jansa V. Heicl V. Rezervační systém Jansa V. Kalina J. Tiskový systém (SafeQ) Jansa V. Zmuda T. Mazl L. Aplikační správci Aleph Jansa V. Heicl V. Kolátor J. Aplikační správci IDM Jansa V. Mazl L. Aplikační správci Kramerius Jansa V. Kolátor J. Janíček M. Řihák J. Z výše uvedené tabulky 4.1 je vidno, že uživatel v prvním sloupci je stále stejná osoba. Je tomu tak z toho důvodu, že se jedná o hlavního správce (vedoucího) celého útvaru provozu IT. 4.3.4 Software pro správu hesel Jedním z mnoha důvodů, proč byl účet správa vytvořen, je administrace nepřeberného množství používaných systémů. A aby si správci nemuseli pamatovat do každého systému odlišné přihlašovací údaje, došlo ve všech systémech k vytvoření tohoto jednotného účtu. Jelikož chceme této situaci v budoucnosti předejít, doporučuji využít aplikace pro správu hesel (tzv. peněženku). 4.3.4.1 Požadavky Před výběrem vhodné aplikace pro správu hesel bylo nutné si vytyčit některá kritéria. Peněženka by měla být víceuživatelská a to nejlépe tak, že pro různé uživatele (skupinu) bude odlišná databáze. Zároveň by měla být spustitelná na platformách Windows i Linux. A jelikož se jedná o organizaci státní správy, tak by bylo ideální, kdyby byl celý produkt zdarma. 4.3.4.2 Aplikace splňující daná kritéria Aplikací, které splňují všechny výše uvedené požadavky, není mnoho. Většina jich pracuje na principu, kdy na počítači spustíte klienta (psaný pro Windows - v Linuxu se emuluje přes Wine) a ten používá databázi hesel na vzdáleném serveru. Druhou variantou jsou programy, které jako klientskou část používají webový prohlížeč, jež je připojen na server, kde běží jádro aplikace. 57
4. Návrh pravidel bezpečnosti Obrázek 4.3: Aplikace TeamPass Pro tyto účely se jako nejvhodnější jeví aplikace TeamPass (vyvíjena Nilsem Laumaillém), která je dokonce opensource 28. Ta spadá do druhé kategorie, kdy se jako klient využívá webový prohlížeč. Tím je tedy zajištěn provoz na všech platformách (a to dokonce i na zařízeních, jako jsou tablety či telefony). Stejně tak je aplikace multi-uživatelská a umožnuje definování práv jednotlivým skupinám uživatelů. O tom jak je zpracováno GUI aplikace vypovídá obrázek 4.3 Přednosti aplikace TeamPass: Uživatelsky přívětivá aplikace Přístup přes internetový prohlížeč (multiplatformní) Veškerý přenos dat je zašifrován algoritmem AES-256 Zápis hesel do stromové struktury Hesla jsou v databázi šifrována 28 Open Source neboli otevřený software je takový program, který má otevřený (legálně dostupný) zdrojový kód. Většinou (nemusí být pravidlem) se jedná o bezplatný software vytvářený komunitou dobrovolníků. 58
4.3. Zabezpečení přístupu Součástí je i generátor hesel Podporuje tři druhy uživatelský rolí (Správce, manažer a pouze pro čtení) Uživatelům je možné nastavit omezenou platnost i sílu hesel Uživatele je možné rozdělit do skupin Každému uživateli (skupině) lze nastavit přístup k jednotlivým (větvím) listům stromové struktury Pro jednotlivé větve lze definovat, jak moc bezpečné heslo by v nich mělo být obsaženo Plná lokalizace do češtiny, včetně podpory českých znaků Je možné provádět šifrovanou zálohu i obnovu databáze Aplikace je OpenSource a je pravidelně aktualizována 4.3.4.3 Instalace a konfigurace Před samotnou instalací si musíme připravit (virtuální) počítač, který bude sloužit jako webový server. Nezáleží přitom na operačním systému. Vzhledem k licenční politice bude ale lepší využít systému Linux. Dále na tomto počítači musíme připravit prostředí pro běh webových aplikací. Nejjednodušší cestou je instalace kompletního balíku XAMPP 29 (WAMPP pro Windows). Další krok spočívá v konfiguraci webového serveru a vytvoření databáze. V internetovém prohlížeči otevřeme adresu localhost a vybereme PhpMyAdmin. Zde pak vytvoříme novou databázi nazvanou teampass. Dále v záložce Privileges vytvoříme nového uživatele teampass_admin, kterému nastavíme všechna oprávnění. Na závěr složce webového obsahu přidělíme oprávnění čtení všem (CHMOD -R 777). Nyní se dostáváme ke stažení a instalaci samotné aplikace TeamPass. Ze stránek vývojáře http://www.teampass.net/download/ stáhneme poslední funkční verzi. Po rozbalení ji nakopírujeme do složky webového serveru a přes webový prohlížeč provedeme její první spuštění. V každém kroku je nejprve potřeba kliknout na tlačítko LAUNCH a po té pokračovat dále. V kroku 2 pak zadáme informace o databázi, jaké jsou znázorněné v tabulce 4.2. V případě, že během instalace nedošlo k žádným problémům a konfigurace proběhla v pořádku, měla by se po zadání adresy localhost do webového prohlížeče zobrazit stránka, jako je uvedená na obrázku 4.4. 29 Jedná se o uživatelsky přívětivý a jednoduše konfigurovatelný balík distribuce Apache, která obsahuje i prostředí PHP a MySQL. 59
4. Návrh pravidel bezpečnosti Tabulka 4.2: Nastavení DB pro TeamPass Host: localhost Database name: teampass Login: teampass_admin Password: vytvořené heslo Obrázek 4.4: První přihlášení do aplikace TeamPass V této fázi už je aplikace plně funkční a je připravena pro naplnění daty. Primárně však doporučuji vytvořit skupiny, do kterých se pak budou přidělovat jednotliví uživatelé. Důležité je také přepnout aplikaci z režimu údržby do plného provozu - přes Nastavení a položku Přepnout TeamPass do správního režimu. 4.4 Monitorování provozu Součástí bezpečnostních opatření je i monitorování provozu. Může se jednat o pravidelné procházení logů jednotlivých zařízení (viz. kapitola 4.1.4.1) nebo rovnou o monitorování samotných uživatelů. Důvodů je hned několik: 60 Podezření na krádež strategických podnikových dat a jejich úmyslné vynášení s cílem poškodit společnost Snížení bezpečnostního rizika počítačové sítě Analýza reálného využití zakoupeného hardware
4.4. Monitorování provozu Analýza reálného využití zakoupeného softwaru Analýza oprávněnosti přesčasů zaměstnanců Detekce navštívených stránek Komplexní personální audit zaměstnanců Rekonstrukce pracovního dne konkrétního uživatele / pracovní stanice Ať už existuje podezření na některého ze zaměstnanců, nebo chceme jen předejít případným budoucím komplikacím (například s porušováním autorského zákona), nastavením této služby zatížíme systémové prostředky jen minimálně a výstup se nám může v budoucnu více než hodit. 4.4.1 Právní opora Z pohledu zákonů je situace leckdy nejednoznačná, avšak většinou na straně zaměstnavatele: Zákon práce povoluje zaměstnavateli snahu chránit svůj majetek. V jiném ustanovení se uvádí, že zaměstnavatel je povinen soustavně kontrolovat, zda zaměstnanci plní své pracovní úkoly tak, aby nedocházelo ke škodám [20]. Dále v zájmu realizace ochrany majetku umožňuje zákoník práce zaměstnavateli, aby prováděl kontrolu věcí, které zaměstnanci vnášejí nebo odnášejí od zaměstnavatele a to včetně prohlídek zaměstnanců ( 170 odst. 3 ZP) [20]. Z výše uvedeného je tedy zřejmé, že zaměstnavatel oporu v zákoně má. Na druhou stranu o odposlechu telefonních hovorů či instalaci kamerového systému už v zákoníku práce není ani zmínka. Navíc je takovéto jednání se zaměstnancem na hraně práv lidské bytosti na ochranu její důstojnosti a soukromí. Právo na soukromí však nemůže být neomezené a tak se akceptují případy, kdy zaměstnavatel monitoruje zaměstnance za účelem chránění svého majetku před poškozením či zneužitím. U zaměstnance je situace zvláštní v tom, že se zdržuje na svém pracovišti v pracovní době za jediným účelem - výkonem práce pro zaměstnavatele, který je oprávněn mu přidělovat práci tak, aby plně využil celou pracovní dobu zaměstnance [20]. Navíc zaměstnanec nepoužívá vlastní pomůcky, nýbrž pomůcky zaměstnavatele. To vše upevňuje postavení zaměstnavatele. Ze zákona však plyne povinnost, že zaměstnanci musí být informováni o tom, že jsou takto kontrolováni. Protože monitorování, o kterém by zaměstnanec nevěděl, je potencionálním zásahem do jeho soukromí. Co se týče monitorování emailové komunikace, mohou nastat dva případy. Pokud se jedná o firemní schránku, pak je schránka ve vlastnictví společnosti a je možné do její korespondence nahlížet (zaměstnanec danou poštu pouze zpracovává). Naopak, otevře-li zaměstnanec na internetu svou soukromou emailovou schránku, nesmí být v tomto případě kontrolována. Jednalo by se však o jiný problém a to o použití (zneužití) pracovní pomůcky k soukromým účelům. 61
4. Návrh pravidel bezpečnosti 4.4.2 Protokol činností administrátorů V případě NTK by bylo nejvhodnější aplikovat monitorování na skupinu administrátorů správa serverů. Tím, že jsme administrátory rozdělili do skupin, jsme sice počet lidí používající tento účet eliminovali. Stále se však jedná o silný nástroj (účty s mnohými pravomocemi) umožňující převzetí kontroly téměř nad jakýmkoliv systémem. Jelikož jsou prostředí v síti NTK různorodé, je potřeba se zabývat jak OS Linux, tak OS Windows. 4.4.2.1 Operační systémy Linux V operačním systému Linux se monitorování činnosti jednotlivých účtů nazývá Účtování procesů. Díky této funkci se nám začnou logovat informace například o tom, jaké příkazy a v jaký čas daný uživatel spustil. To nám velice ulehčí hledání případného viníka či člověka, který provedl poslední rekonfiguraci systému. Aktivace tzv. účtování procesů je jednoduchá. Zadáním příkazu uvedeného v tabulce 4.3 zapneme tuto funkci v libovolné distribuci Linuxu. Pokud je však používán RedHat nebo SuSE a to včetně balíčku pro účtování procesů, je možné tuto funkci aktivovat přímo ve spouštěcích skriptech. O tom, jakými příkazy účtování procesů v tomto případě aktivovat, pojednává tabulka 4.4. Tabulka 4.3: Aktivace účtování procesů (obecně) # mkdir /var/account # touch /var/account/pacct && chmod 660 /var/account/pacct # /sbin/accton /var/account/pacct Tabulka 4.4: Aktivace účtování procesů RedHat a SuSE RedHat SuSE # chkconfig psacct on # chkconfig acct on # /sbin/service psacct start # /sbin/service acct start Jakmile je vše nastaveno, můžeme začít procházet logy. K tomu nám pomůže příkaz ac, který zobrazí délku přihlášení všech uživatelů na dané stanici. Dalším, a hojně využívaným, může být příkaz lastcomm, který umožňuje procházet logy podle vložených příkazů či uživatelského jméno. Posledním užitečným nástrojem je sa, který provede sumarizaci záznamů v logu a zobrazí všechny spuštěné příkazy. 4.4.2.2 Operační systémy Windows U operačních systému Windows je situace trochu odlišná. K přehlednému a komplexnímu logování všech činností uživatele je totiž potřeba použít aplikací 62
4.4. Monitorování provozu třetích stran. Já se však pokusím využít dostupných prostředků a nakonfigurovat alespoň zásady auditování. Ty zahrnují: Události přihlášení k účtu Události správy účtu Události přístupu k adresářové službě Události přihlášení Přístup k objektům Změny zásad Oprávněné použití Sledování procesů Systémové události Konfiguraci jednotlivých zásad auditování spustíme přes konzoli MMC (Microsoft Management Console) a následným výběrem Místní zásady zabezpečení. Ve složce Místní zásady a Zásady auditu jsou všechny tyto moduly připraveny k aktivaci. Jelikož chceme monitorovat činnost správců, je vhodné aktivovat moduly Auditování událostí správy účtu (kontroluje, zda nebyly přiděleny administrátorská práva jinému účtu), Události přihlášení (abychom věděli, kdy se kdo přihlásil), Přístup k objektům (monitoruje přístup k souborům, tiskárnám, registrům aj.), Změny zásad (zda-li uživatel nedeaktivoval například zásady auditu), Auditování sledování procesů (aneb jaké aplikace a procesy byly spuštěny) a Systémové události (kdy kontrolujeme, zda uživatel nevymazal logy aj.). Zároveň můžeme využít možnosti, zda-li chceme uchovávat informace o úspěšných pokusech, neúspěšných či obou. Výsledek by pak měl vypadat jako na obrázku 4.5. Výstupy z těchto logů jsou dostupné přes nástroj Prohlížeč událostí, který umí vypsat detailní informace o událostech, umožňuje jejich řazení dle různých vlastností, filtraci apod. 4.4.3 Aplikace AuditPro O tom, jak monitorovat činnost správců na serverech, jsem psal v předchozí kapitole. Budeme-li však chtít mít přehled i o zbylých zaměstnancích, nejjednodušší cestou je využití již zakoupené licence AuditPro. Jen pro připomenutí, v současnosti je pouze plánováno, že aplikace bude využívána za účelem evidence softwaru - ostrý provoz však ještě nezačal. Vzhledem k tomu, 63
4. Návrh pravidel bezpečnosti Obrázek 4.5: Nastavení zásad auditu v MS Windows že součástí modulu pro sběr informací o software je i monitorování činnosti uživatelů, tak by byla škoda zaplacené licence nevyužít. Kromě samotného auditu umožňuje AuditPro provádět inventuru počítačového vybavení či vytvářet předávací i instalační protokoly. Zároveň umí zpracovávat výsledky analýz do přehledných grafů, kde je například znázorněno jaký čas trávil uživatel na jednotlivých internetových stránkách apod. Pro vyzkoušení je možné si stáhnout demoverzi na monitorování pěti počítačů. Celý systém pracuje na principu třívrstvé architektury, kde datovou vrstvu tvoří databázový server, aplikační vrstvou je soubor komponent AuditPro serveru a prezentační částí je grafické rozhraní aplikace. 4.4.3.1 Instalace a konfigurace Před samotnou instalací produktu si opět musíme předpřipravit počítač, na kterém bude prostředí MS Windows (a nejlépe tak, aby bylo v doméně). Po té stáhneme poslední dostupnou verzi aplikace AuditPro ze stránek výrobce: http://www.auditpro.cz/ke-stazeni. Následujeme instrukce instalátoru až do okamžiku, kdy vše bude úspěšně nainstalováno. Při prvním spuštění aplikace AuditPro je potřeba vložit licenční klíč. Po té se již dostaneme k samotnému nastavení. V záložce Struktura sítě vybereme v levém sloupečku Průvodce sběrem dat, který nám pomůže s vyhledáním počítačů v síti. Dojdeme-li s průvodcem úspěšně až do konce, měli bychom 64
4.4. Monitorování provozu Obrázek 4.6: Aplikace AuditPro mít ve struktuře nejen všechny počítače, ale také by měla začít i automatická instalace klienta na všech stanicích (MS Windows). Skutečnost však nemusí být vždy tak růžová a v některých případech je potřeba distribuovat klienta ručně (stanici po stanici) a nebo pomocí Group Policy 30. V mém případě bylo ještě potřeba zkopírovat utilitu psexec z balíku nástrojů SysInternals 31 do adresáře, ve které ja program AuditPro nainstalován. 4.4.3.2 Sběr informací o instalovaném SW Jakmile máme klienta ve všech monitorovaných stanicích, můžeme začít sbírat data o instalovaném software. Opět vybereme záložku Struktura sítě a v ní položku počítače. V seznamu označíme všechny počítače, klikneme pravým tlačítkem a zvolíme Sběr dat. Tím se zahájí až hodinový proces sběru dat. Zatížení koncových počítačů je však minimální a uživatele nikterak při práci neblokuje. Stejně tak ani rapidně nevzroste síťová zátěž. Pokud z důvodů síťových pravidel nepůjde přes daný port se serverovou částí AuditPro komunikovat, je možné jednotlivým klientům nastavit, aby reporty ukládali do síťové složky, odkud si je pak jádro aplikace převezme. 30 GPO je systém používaná v prostředí Microsoft Windows, umožňující definovat zásady a pravidla pro stanice ve skupině (doméně) 31 Jedná se o balík užitečných nástrojů pro MS Windows - Ke stažení http://technet. microsoft.com/en-us/sysinternals/bb842062 65