Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



19.10.2018

4K, HDR i USB-C

Philips 328P6VUBREB
16.10.2018

Pełna optymalizacja

Quest Foglight for Virtualization Enterprise 8.8 (FVE)
12.10.2018

Linux w chmurze Azure

SUSE Linux Enterprise 15 / Microsoft Azure
09.10.2018

Nowe antywirusy

Bitdefender 2019
03.10.2018

Niezawodny tandem

Veeam Hyper-Availability Platform i Cisco HyperFlex
26.09.2018

Zarządzane z chmury

NETGEAR GC752X(P)
21.09.2018

Kolor razy 6

Kyocera ECOSYS i TASKalfa
18.09.2018

Na ataki piątej generacji

Check Point 23900
14.09.2018

UHD dla pro

Samsung UJ59

Bezpieczeństwo ruchu sieciowego

Data publikacji: 09-01-2018 Autor: Michał Gajda
RYS. 1. SCHEMAT...

Zabezpieczanie ruchu sieciowego jest jednym z ważniejszych elementów dbania o bezpieczeństwo całej infrastruktury IT. Niniejszy artykuł prezentuje mechanizmy pozwalające na utworzenie bezpiecznych kanałów komunikacji w systemach Windows przy wykorzystaniu protokołu IPSec.

Bezpieczeństwo systemów informatycznych jest na tyle skuteczne, na ile bezpieczne jest najsłabsze ogniwo całej infrastruktury IT. Począwszy od zabezpieczeń fizycznych serwerowni, gdzie ulokowane są serwery, przez logiczne zabezpieczenia poszczególnych systemów informatycznych, a skończywszy na mechanizmach zapewniających użytkownikom dostęp do danych. Dlatego nawet najlepsze zabezpieczenia zastosowane dla pierwszych dwóch wymienionych elementów mogą okazać się nieskuteczne, gdy nie zapewnimy odpowiedniej ochrony dla kanału komunikacyjnego serwera z klientem końcowym.

Aby rozwiązać problem zabezpieczania komunikacji sieciowej, możliwe jest wykorzystanie protokołu IP Security, w skrócie nazywanego IPSec. Protokół ten zapewnia nie tylko mechanizmy uwierzytelniania w celu zweryfikowania, czy poszczególne pakiety sesji IP pochodzą od wskazanego nadawcy, ale również szyfrowanie treści pakietu i zweryfikowanie jego integralności, czy przypadkiem nie został on zmodyfikowany podczas przesyłania. W przypadku wersji klienckich i edycji serwerowych Windows obsługa protokołu IPSec jest natywnie dostępna. Jednak aby możliwe było korzystanie z niego, konieczne jest odpowiednie skonfigurowanie elementów infrastruktury po stronie systemu klienta i serwera.

> WYMAGANE KOMPONENTY INFRASTRUKTURY

Komponenty do obsługi bezpiecznego ruchu sieciowego mechanizmem IPSec są dostępne w systemach Windows. Niemniej jednak, aby wdrożenie mogło zostać kompleksowo zaimplementowane, przydatna jest dostępność kilku dodatkowych usług – usługi katalogowej Active Directory oraz usługi lokalnego urzędu certyfikacji, czyli Active Directory Certificate Services. Ponieważ będziemy wykorzystywać usługę AD CS, prezentowane przez nas rozwiązanie będzie bazowało na certyfikatach. Nie jest to wymagany element, możemy wykorzystać inne mechanizmy uwierzytelniania się stacji roboczych, np. Kerberos V5 czy współdzielony klucz. Niemniej jednak proponowane rozwiązanie jest stosunkowo bezpieczne i łatwe do zaimplementowania praktycznie dla każdej organizacji.

Przykładowe rozwiązanie będzie bazowało na certyfikatach z szablonu Computer. Jego głównymi celami jest uwierzytelnianie klienta (Client Authentication) oraz uwierzytelnianie serwera (Server Authentication). Dzięki nim będzie możliwe zidentyfikowanie, czy połączenie naprawdę pochodzi od odpowiedniego nadawcy, i wyeliminuje próby podszywania się. Ważne jest, aby przed przystąpieniem do konfiguracji odpowiednie certyfikaty były dostępne w ramach maszyn, które będą konfigurowane. Najprościej można to zrobić, wykorzystując zasady GPO usługi Active Directory. Przydatne ustawienia zasad GPO dostępne są w gałęzi Computer Configuration | Policies | Windows Settings | Security Settings | Public Key Policies – tutaj włączamy automatyczną rejestrację certyfikatów.


Dodatkowo w ramach podgałęzi Automatic Certificate Request Settings dodajemy wcześniej wspomniany szablon certyfikatu. Ostatecznie gdy zasada GPO jest gotowa, wystarczy odświeżyć zasady w ramach każdej z maszyn poleceniem: gpupdate /force. Dla opisywanego w niniejszym artykule testowego wdrożenia zostanie zaprezentowany mechanizm zabezpieczania połączenia protokołu SMB do udostępnionego zasobu sieciowego na serwerze plików. Schemat infrastruktury pokazano na rys. 1.
 
> REGUŁY ZABEZPIECZEŃ POŁĄCZEŃ

Podstawowym elementem w zabezpieczaniu ruchu sieciowego w Windows jest utworzenie odpowiedniej reguły zabezpieczeń połączeń (Connection Security Rules). Tworzymy ją w ramach zaawansowanej konfiguracji zapory systemu (Advanced settings). Cały proces tworzenia reguł zabezpieczeń połączeń został przedstawiony w ramce Tworzenie reguły zabezpieczeń połączeń. Należy wspomnieć, że niniejszą regułę konfigurujemy w identyczny sposób zarówno po stronie serwera, jak i stacji klienckiej.

Cały proces tworzenia reguł zabezpieczeń połączeń może być również zautomatyzowany. Niemniej, aby został on w pełni zakończony, konieczne jest posłużenie się aż trzema cmdletami PowerShell, w ramach których najpierw definiujemy poszczególne elementy składowe reguły, a dopiero później tworzymy samą regułę.

[...]

Autor pracuje jako specjalista ds. wdrożeń, zajmuje się implementowaniem nowych technologii w infrastrukturze serwerowej. Posiada tytuł MVP Cloud and Datacenter Management. Jest twórcą webcastów i artykułów publikowanych w czasopismach i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"