Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


05.09.2022

Łatwiejsza migracja do chmur

Commvault i Oracle rozszerzyły partnerską współpracę i wspólnie oferują rozwiązanie...
01.09.2022

Badanie sieci

QNAP ogłosił wprowadzenie oprogramowania ADRA Network Detection and Response (NDR) dla...
01.09.2022

5G w Polsce

Z badania Kearney 5G Readiness Index 2022 wynika, że Polska jest jednym z najgorzej...
01.09.2022

Zarządzanie działaniami

Fortinet zaprezentował chmurową usługę, która koreluje informacje dotyczące...
01.09.2022

Selektywna rejestracja

Naukowcy z UCLA przedstawili projekt inteligentnej kamery, która pozwala wybrać, jaki...
01.09.2022

Więcej mocy, komputer...

Profesjonalny komputer Dell Precision 7865 Tower z AMD Ryzen Threadripper PRO 5000...
01.09.2022

Rekord prędkości

Firma Aorus zapowiada superszybki dysk, następcę modelu Gen4 7000s SSD, który ma oferować...
01.09.2022

Beprzewodowe drukowanie

Firma Brother wprowadziła do swojego portfolio nowe urządzenie wielofunkcyjne z systemem...
01.09.2022

Obraz dobrze zaprogramowany

Monitor interaktywny Lyra to połączenie Androida 11, szyby antybakteryjnej, wbudowanego...

Bezpieczeństwo ruchu sieciowego

Data publikacji: 09-01-2018 Autor: Michał Gajda
RYS. 1. SCHEMAT...

Zabezpieczanie ruchu sieciowego jest jednym z ważniejszych elementów dbania o bezpieczeństwo całej infrastruktury IT. Niniejszy artykuł prezentuje mechanizmy pozwalające na utworzenie bezpiecznych kanałów komunikacji w systemach Windows przy wykorzystaniu protokołu IPSec.

Bezpieczeństwo systemów informatycznych jest na tyle skuteczne, na ile bezpieczne jest najsłabsze ogniwo całej infrastruktury IT. Począwszy od zabezpieczeń fizycznych serwerowni, gdzie ulokowane są serwery, przez logiczne zabezpieczenia poszczególnych systemów informatycznych, a skończywszy na mechanizmach zapewniających użytkownikom dostęp do danych. Dlatego nawet najlepsze zabezpieczenia zastosowane dla pierwszych dwóch wymienionych elementów mogą okazać się nieskuteczne, gdy nie zapewnimy odpowiedniej ochrony dla kanału komunikacyjnego serwera z klientem końcowym.

Aby rozwiązać problem zabezpieczania komunikacji sieciowej, możliwe jest wykorzystanie protokołu IP Security, w skrócie nazywanego IPSec. Protokół ten zapewnia nie tylko mechanizmy uwierzytelniania w celu zweryfikowania, czy poszczególne pakiety sesji IP pochodzą od wskazanego nadawcy, ale również szyfrowanie treści pakietu i zweryfikowanie jego integralności, czy przypadkiem nie został on zmodyfikowany podczas przesyłania. W przypadku wersji klienckich i edycji serwerowych Windows obsługa protokołu IPSec jest natywnie dostępna. Jednak aby możliwe było korzystanie z niego, konieczne jest odpowiednie skonfigurowanie elementów infrastruktury po stronie systemu klienta i serwera.

> WYMAGANE KOMPONENTY INFRASTRUKTURY

Komponenty do obsługi bezpiecznego ruchu sieciowego mechanizmem IPSec są dostępne w systemach Windows. Niemniej jednak, aby wdrożenie mogło zostać kompleksowo zaimplementowane, przydatna jest dostępność kilku dodatkowych usług – usługi katalogowej Active Directory oraz usługi lokalnego urzędu certyfikacji, czyli Active Directory Certificate Services. Ponieważ będziemy wykorzystywać usługę AD CS, prezentowane przez nas rozwiązanie będzie bazowało na certyfikatach. Nie jest to wymagany element, możemy wykorzystać inne mechanizmy uwierzytelniania się stacji roboczych, np. Kerberos V5 czy współdzielony klucz. Niemniej jednak proponowane rozwiązanie jest stosunkowo bezpieczne i łatwe do zaimplementowania praktycznie dla każdej organizacji.

Przykładowe rozwiązanie będzie bazowało na certyfikatach z szablonu Computer. Jego głównymi celami jest uwierzytelnianie klienta (Client Authentication) oraz uwierzytelnianie serwera (Server Authentication). Dzięki nim będzie możliwe zidentyfikowanie, czy połączenie naprawdę pochodzi od odpowiedniego nadawcy, i wyeliminuje próby podszywania się. Ważne jest, aby przed przystąpieniem do konfiguracji odpowiednie certyfikaty były dostępne w ramach maszyn, które będą konfigurowane. Najprościej można to zrobić, wykorzystując zasady GPO usługi Active Directory. Przydatne ustawienia zasad GPO dostępne są w gałęzi Computer Configuration | Policies | Windows Settings | Security Settings | Public Key Policies – tutaj włączamy automatyczną rejestrację certyfikatów.


Dodatkowo w ramach podgałęzi Automatic Certificate Request Settings dodajemy wcześniej wspomniany szablon certyfikatu. Ostatecznie gdy zasada GPO jest gotowa, wystarczy odświeżyć zasady w ramach każdej z maszyn poleceniem: gpupdate /force. Dla opisywanego w niniejszym artykule testowego wdrożenia zostanie zaprezentowany mechanizm zabezpieczania połączenia protokołu SMB do udostępnionego zasobu sieciowego na serwerze plików. Schemat infrastruktury pokazano na rys. 1.
 
> REGUŁY ZABEZPIECZEŃ POŁĄCZEŃ

Podstawowym elementem w zabezpieczaniu ruchu sieciowego w Windows jest utworzenie odpowiedniej reguły zabezpieczeń połączeń (Connection Security Rules). Tworzymy ją w ramach zaawansowanej konfiguracji zapory systemu (Advanced settings). Cały proces tworzenia reguł zabezpieczeń połączeń został przedstawiony w ramce Tworzenie reguły zabezpieczeń połączeń. Należy wspomnieć, że niniejszą regułę konfigurujemy w identyczny sposób zarówno po stronie serwera, jak i stacji klienckiej.

Cały proces tworzenia reguł zabezpieczeń połączeń może być również zautomatyzowany. Niemniej, aby został on w pełni zakończony, konieczne jest posłużenie się aż trzema cmdletami PowerShell, w ramach których najpierw definiujemy poszczególne elementy składowe reguły, a dopiero później tworzymy samą regułę.

[...]

Autor pracuje jako specjalista ds. wdrożeń, zajmuje się implementowaniem nowych technologii w infrastrukturze serwerowej. Posiada tytuł MVP Cloud and Datacenter Management. Jest twórcą webcastów i artykułów publikowanych w czasopismach i serwisach internetowych.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"