Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.01.2018

Infrastruktura konwergentna

NFLEX firm Fujitsu i NetApp
19.01.2018

Wysoka gęstość

D-Link DGS-3630
16.01.2018

Odporne na korozję

Kamery Panasonic WV-X6531NS i WV-S1531LNS
12.01.2018

Bezpieczny AP

Ubiquiti UAP-AC-SHD
09.01.2018

Zarządzanie i dostępność

Veeam Availability Suite 9.5 U3
04.01.2018

Usługi w chmurze

Citrix XenApp i XenDesktop
27.12.2017

Nowe macierze All-Flash

Dell EMC SC All-Flash SC5020F/SC7020F
21.12.2017

Jak cyberzagrożenia zmieniły...

Na pytanie odpowiada Mukul Chopra, Director, Digital Transformation Centre, COMPAREX
21.12.2017

Rekord świata w SPEC CPU

HPE ProLiant DL385

Bezpieczeństwo ruchu sieciowego

Data publikacji: 09-01-2018 Autor: Michał Gajda
RYS. 1. SCHEMAT...

Zabezpieczanie ruchu sieciowego jest jednym z ważniejszych elementów dbania o bezpieczeństwo całej infrastruktury IT. Niniejszy artykuł prezentuje mechanizmy pozwalające na utworzenie bezpiecznych kanałów komunikacji w systemach Windows przy wykorzystaniu protokołu IPSec.

Bezpieczeństwo systemów informatycznych jest na tyle skuteczne, na ile bezpieczne jest najsłabsze ogniwo całej infrastruktury IT. Począwszy od zabezpieczeń fizycznych serwerowni, gdzie ulokowane są serwery, przez logiczne zabezpieczenia poszczególnych systemów informatycznych, a skończywszy na mechanizmach zapewniających użytkownikom dostęp do danych. Dlatego nawet najlepsze zabezpieczenia zastosowane dla pierwszych dwóch wymienionych elementów mogą okazać się nieskuteczne, gdy nie zapewnimy odpowiedniej ochrony dla kanału komunikacyjnego serwera z klientem końcowym.

Aby rozwiązać problem zabezpieczania komunikacji sieciowej, możliwe jest wykorzystanie protokołu IP Security, w skrócie nazywanego IPSec. Protokół ten zapewnia nie tylko mechanizmy uwierzytelniania w celu zweryfikowania, czy poszczególne pakiety sesji IP pochodzą od wskazanego nadawcy, ale również szyfrowanie treści pakietu i zweryfikowanie jego integralności, czy przypadkiem nie został on zmodyfikowany podczas przesyłania. W przypadku wersji klienckich i edycji serwerowych Windows obsługa protokołu IPSec jest natywnie dostępna. Jednak aby możliwe było korzystanie z niego, konieczne jest odpowiednie skonfigurowanie elementów infrastruktury po stronie systemu klienta i serwera.

> WYMAGANE KOMPONENTY INFRASTRUKTURY

Komponenty do obsługi bezpiecznego ruchu sieciowego mechanizmem IPSec są dostępne w systemach Windows. Niemniej jednak, aby wdrożenie mogło zostać kompleksowo zaimplementowane, przydatna jest dostępność kilku dodatkowych usług – usługi katalogowej Active Directory oraz usługi lokalnego urzędu certyfikacji, czyli Active Directory Certificate Services. Ponieważ będziemy wykorzystywać usługę AD CS, prezentowane przez nas rozwiązanie będzie bazowało na certyfikatach. Nie jest to wymagany element, możemy wykorzystać inne mechanizmy uwierzytelniania się stacji roboczych, np. Kerberos V5 czy współdzielony klucz. Niemniej jednak proponowane rozwiązanie jest stosunkowo bezpieczne i łatwe do zaimplementowania praktycznie dla każdej organizacji.

Przykładowe rozwiązanie będzie bazowało na certyfikatach z szablonu Computer. Jego głównymi celami jest uwierzytelnianie klienta (Client Authentication) oraz uwierzytelnianie serwera (Server Authentication). Dzięki nim będzie możliwe zidentyfikowanie, czy połączenie naprawdę pochodzi od odpowiedniego nadawcy, i wyeliminuje próby podszywania się. Ważne jest, aby przed przystąpieniem do konfiguracji odpowiednie certyfikaty były dostępne w ramach maszyn, które będą konfigurowane. Najprościej można to zrobić, wykorzystując zasady GPO usługi Active Directory. Przydatne ustawienia zasad GPO dostępne są w gałęzi Computer Configuration | Policies | Windows Settings | Security Settings | Public Key Policies – tutaj włączamy automatyczną rejestrację certyfikatów.


Dodatkowo w ramach podgałęzi Automatic Certificate Request Settings dodajemy wcześniej wspomniany szablon certyfikatu. Ostatecznie gdy zasada GPO jest gotowa, wystarczy odświeżyć zasady w ramach każdej z maszyn poleceniem: gpupdate /force. Dla opisywanego w niniejszym artykule testowego wdrożenia zostanie zaprezentowany mechanizm zabezpieczania połączenia protokołu SMB do udostępnionego zasobu sieciowego na serwerze plików. Schemat infrastruktury pokazano na rys. 1.
 
> REGUŁY ZABEZPIECZEŃ POŁĄCZEŃ

Podstawowym elementem w zabezpieczaniu ruchu sieciowego w Windows jest utworzenie odpowiedniej reguły zabezpieczeń połączeń (Connection Security Rules). Tworzymy ją w ramach zaawansowanej konfiguracji zapory systemu (Advanced settings). Cały proces tworzenia reguł zabezpieczeń połączeń został przedstawiony w ramce Tworzenie reguły zabezpieczeń połączeń. Należy wspomnieć, że niniejszą regułę konfigurujemy w identyczny sposób zarówno po stronie serwera, jak i stacji klienckiej.

Cały proces tworzenia reguł zabezpieczeń połączeń może być również zautomatyzowany. Niemniej, aby został on w pełni zakończony, konieczne jest posłużenie się aż trzema cmdletami PowerShell, w ramach których najpierw definiujemy poszczególne elementy składowe reguły, a dopiero później tworzymy samą regułę.

[...]

Autor pracuje jako specjalista ds. wdrożeń, zajmuje się implementowaniem nowych technologii w infrastrukturze serwerowej. Posiada tytuł MVP Cloud and Datacenter Management. Jest twórcą webcastów i artykułów publikowanych w czasopismach i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"