Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


19.06.2018

Konwertowalny mikrus

HP EliteBook x360 1030 G3
15.06.2018

Druga generacja

AMD Ryzen
12.06.2018

Przejście na SDI

SUSE OpenStack Cloud 8
08.06.2018

Chmurowy firewall

Barracuda WAF-as-a-Service
05.06.2018

Kopie środowisk hybrydowych

NetVault Backup 12.0
01.06.2018

Zgodność z rodo

baramundi Management Suite 2018
28.05.2018

Dotyk dla monitorów

Nakładki interaktywne Sony
24.05.2018

Do obsługi konferencji

HP Elite Slice G2
21.05.2018

Dla małych grup

Drukarki Canon

Bezpieczeństwo ruchu sieciowego

Data publikacji: 09-01-2018 Autor: Michał Gajda
RYS. 1. SCHEMAT...

Zabezpieczanie ruchu sieciowego jest jednym z ważniejszych elementów dbania o bezpieczeństwo całej infrastruktury IT. Niniejszy artykuł prezentuje mechanizmy pozwalające na utworzenie bezpiecznych kanałów komunikacji w systemach Windows przy wykorzystaniu protokołu IPSec.

Bezpieczeństwo systemów informatycznych jest na tyle skuteczne, na ile bezpieczne jest najsłabsze ogniwo całej infrastruktury IT. Począwszy od zabezpieczeń fizycznych serwerowni, gdzie ulokowane są serwery, przez logiczne zabezpieczenia poszczególnych systemów informatycznych, a skończywszy na mechanizmach zapewniających użytkownikom dostęp do danych. Dlatego nawet najlepsze zabezpieczenia zastosowane dla pierwszych dwóch wymienionych elementów mogą okazać się nieskuteczne, gdy nie zapewnimy odpowiedniej ochrony dla kanału komunikacyjnego serwera z klientem końcowym.

Aby rozwiązać problem zabezpieczania komunikacji sieciowej, możliwe jest wykorzystanie protokołu IP Security, w skrócie nazywanego IPSec. Protokół ten zapewnia nie tylko mechanizmy uwierzytelniania w celu zweryfikowania, czy poszczególne pakiety sesji IP pochodzą od wskazanego nadawcy, ale również szyfrowanie treści pakietu i zweryfikowanie jego integralności, czy przypadkiem nie został on zmodyfikowany podczas przesyłania. W przypadku wersji klienckich i edycji serwerowych Windows obsługa protokołu IPSec jest natywnie dostępna. Jednak aby możliwe było korzystanie z niego, konieczne jest odpowiednie skonfigurowanie elementów infrastruktury po stronie systemu klienta i serwera.

> WYMAGANE KOMPONENTY INFRASTRUKTURY

Komponenty do obsługi bezpiecznego ruchu sieciowego mechanizmem IPSec są dostępne w systemach Windows. Niemniej jednak, aby wdrożenie mogło zostać kompleksowo zaimplementowane, przydatna jest dostępność kilku dodatkowych usług – usługi katalogowej Active Directory oraz usługi lokalnego urzędu certyfikacji, czyli Active Directory Certificate Services. Ponieważ będziemy wykorzystywać usługę AD CS, prezentowane przez nas rozwiązanie będzie bazowało na certyfikatach. Nie jest to wymagany element, możemy wykorzystać inne mechanizmy uwierzytelniania się stacji roboczych, np. Kerberos V5 czy współdzielony klucz. Niemniej jednak proponowane rozwiązanie jest stosunkowo bezpieczne i łatwe do zaimplementowania praktycznie dla każdej organizacji.

Przykładowe rozwiązanie będzie bazowało na certyfikatach z szablonu Computer. Jego głównymi celami jest uwierzytelnianie klienta (Client Authentication) oraz uwierzytelnianie serwera (Server Authentication). Dzięki nim będzie możliwe zidentyfikowanie, czy połączenie naprawdę pochodzi od odpowiedniego nadawcy, i wyeliminuje próby podszywania się. Ważne jest, aby przed przystąpieniem do konfiguracji odpowiednie certyfikaty były dostępne w ramach maszyn, które będą konfigurowane. Najprościej można to zrobić, wykorzystując zasady GPO usługi Active Directory. Przydatne ustawienia zasad GPO dostępne są w gałęzi Computer Configuration | Policies | Windows Settings | Security Settings | Public Key Policies – tutaj włączamy automatyczną rejestrację certyfikatów.


Dodatkowo w ramach podgałęzi Automatic Certificate Request Settings dodajemy wcześniej wspomniany szablon certyfikatu. Ostatecznie gdy zasada GPO jest gotowa, wystarczy odświeżyć zasady w ramach każdej z maszyn poleceniem: gpupdate /force. Dla opisywanego w niniejszym artykule testowego wdrożenia zostanie zaprezentowany mechanizm zabezpieczania połączenia protokołu SMB do udostępnionego zasobu sieciowego na serwerze plików. Schemat infrastruktury pokazano na rys. 1.
 
> REGUŁY ZABEZPIECZEŃ POŁĄCZEŃ

Podstawowym elementem w zabezpieczaniu ruchu sieciowego w Windows jest utworzenie odpowiedniej reguły zabezpieczeń połączeń (Connection Security Rules). Tworzymy ją w ramach zaawansowanej konfiguracji zapory systemu (Advanced settings). Cały proces tworzenia reguł zabezpieczeń połączeń został przedstawiony w ramce Tworzenie reguły zabezpieczeń połączeń. Należy wspomnieć, że niniejszą regułę konfigurujemy w identyczny sposób zarówno po stronie serwera, jak i stacji klienckiej.

Cały proces tworzenia reguł zabezpieczeń połączeń może być również zautomatyzowany. Niemniej, aby został on w pełni zakończony, konieczne jest posłużenie się aż trzema cmdletami PowerShell, w ramach których najpierw definiujemy poszczególne elementy składowe reguły, a dopiero później tworzymy samą regułę.

[...]

Autor pracuje jako specjalista ds. wdrożeń, zajmuje się implementowaniem nowych technologii w infrastrukturze serwerowej. Posiada tytuł MVP Cloud and Datacenter Management. Jest twórcą webcastów i artykułów publikowanych w czasopismach i serwisach internetowych.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"