Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2018

Laserowe benefity

Brother TonerBenefit
17.07.2018

Laptop konwertowalny

HP ProBook x360 440 G1
13.07.2018

Wiele kanałów komunikacji

Avaya IP Office
10.07.2018

Konwersja VM

Xopero Image Tool (XIT)
06.07.2018

Bezpieczne testy chmury

Usługi Oracle w modelu PAYG
03.07.2018

Centrum innowacji

Nokia Garage
29.06.2018

Trzecia generacja dysków

Samsung SSD NVMe 970 PRO i 970 EVO
26.06.2018

Druk mono

Drukarki Konica Minolta
22.06.2018

Monitor z USB-C

AOC I1601FWUX

Bezpieczeństwo ruchu sieciowego

Data publikacji: 09-01-2018 Autor: Michał Gajda
RYS. 1. SCHEMAT...

Zabezpieczanie ruchu sieciowego jest jednym z ważniejszych elementów dbania o bezpieczeństwo całej infrastruktury IT. Niniejszy artykuł prezentuje mechanizmy pozwalające na utworzenie bezpiecznych kanałów komunikacji w systemach Windows przy wykorzystaniu protokołu IPSec.

Bezpieczeństwo systemów informatycznych jest na tyle skuteczne, na ile bezpieczne jest najsłabsze ogniwo całej infrastruktury IT. Począwszy od zabezpieczeń fizycznych serwerowni, gdzie ulokowane są serwery, przez logiczne zabezpieczenia poszczególnych systemów informatycznych, a skończywszy na mechanizmach zapewniających użytkownikom dostęp do danych. Dlatego nawet najlepsze zabezpieczenia zastosowane dla pierwszych dwóch wymienionych elementów mogą okazać się nieskuteczne, gdy nie zapewnimy odpowiedniej ochrony dla kanału komunikacyjnego serwera z klientem końcowym.

Aby rozwiązać problem zabezpieczania komunikacji sieciowej, możliwe jest wykorzystanie protokołu IP Security, w skrócie nazywanego IPSec. Protokół ten zapewnia nie tylko mechanizmy uwierzytelniania w celu zweryfikowania, czy poszczególne pakiety sesji IP pochodzą od wskazanego nadawcy, ale również szyfrowanie treści pakietu i zweryfikowanie jego integralności, czy przypadkiem nie został on zmodyfikowany podczas przesyłania. W przypadku wersji klienckich i edycji serwerowych Windows obsługa protokołu IPSec jest natywnie dostępna. Jednak aby możliwe było korzystanie z niego, konieczne jest odpowiednie skonfigurowanie elementów infrastruktury po stronie systemu klienta i serwera.

> WYMAGANE KOMPONENTY INFRASTRUKTURY

Komponenty do obsługi bezpiecznego ruchu sieciowego mechanizmem IPSec są dostępne w systemach Windows. Niemniej jednak, aby wdrożenie mogło zostać kompleksowo zaimplementowane, przydatna jest dostępność kilku dodatkowych usług – usługi katalogowej Active Directory oraz usługi lokalnego urzędu certyfikacji, czyli Active Directory Certificate Services. Ponieważ będziemy wykorzystywać usługę AD CS, prezentowane przez nas rozwiązanie będzie bazowało na certyfikatach. Nie jest to wymagany element, możemy wykorzystać inne mechanizmy uwierzytelniania się stacji roboczych, np. Kerberos V5 czy współdzielony klucz. Niemniej jednak proponowane rozwiązanie jest stosunkowo bezpieczne i łatwe do zaimplementowania praktycznie dla każdej organizacji.

Przykładowe rozwiązanie będzie bazowało na certyfikatach z szablonu Computer. Jego głównymi celami jest uwierzytelnianie klienta (Client Authentication) oraz uwierzytelnianie serwera (Server Authentication). Dzięki nim będzie możliwe zidentyfikowanie, czy połączenie naprawdę pochodzi od odpowiedniego nadawcy, i wyeliminuje próby podszywania się. Ważne jest, aby przed przystąpieniem do konfiguracji odpowiednie certyfikaty były dostępne w ramach maszyn, które będą konfigurowane. Najprościej można to zrobić, wykorzystując zasady GPO usługi Active Directory. Przydatne ustawienia zasad GPO dostępne są w gałęzi Computer Configuration | Policies | Windows Settings | Security Settings | Public Key Policies – tutaj włączamy automatyczną rejestrację certyfikatów.


Dodatkowo w ramach podgałęzi Automatic Certificate Request Settings dodajemy wcześniej wspomniany szablon certyfikatu. Ostatecznie gdy zasada GPO jest gotowa, wystarczy odświeżyć zasady w ramach każdej z maszyn poleceniem: gpupdate /force. Dla opisywanego w niniejszym artykule testowego wdrożenia zostanie zaprezentowany mechanizm zabezpieczania połączenia protokołu SMB do udostępnionego zasobu sieciowego na serwerze plików. Schemat infrastruktury pokazano na rys. 1.
 
> REGUŁY ZABEZPIECZEŃ POŁĄCZEŃ

Podstawowym elementem w zabezpieczaniu ruchu sieciowego w Windows jest utworzenie odpowiedniej reguły zabezpieczeń połączeń (Connection Security Rules). Tworzymy ją w ramach zaawansowanej konfiguracji zapory systemu (Advanced settings). Cały proces tworzenia reguł zabezpieczeń połączeń został przedstawiony w ramce Tworzenie reguły zabezpieczeń połączeń. Należy wspomnieć, że niniejszą regułę konfigurujemy w identyczny sposób zarówno po stronie serwera, jak i stacji klienckiej.

Cały proces tworzenia reguł zabezpieczeń połączeń może być również zautomatyzowany. Niemniej, aby został on w pełni zakończony, konieczne jest posłużenie się aż trzema cmdletami PowerShell, w ramach których najpierw definiujemy poszczególne elementy składowe reguły, a dopiero później tworzymy samą regułę.

[...]

Autor pracuje jako specjalista ds. wdrożeń, zajmuje się implementowaniem nowych technologii w infrastrukturze serwerowej. Posiada tytuł MVP Cloud and Datacenter Management. Jest twórcą webcastów i artykułów publikowanych w czasopismach i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"