KözHáló Önkormányzati Biztonsági Központ. Felhasználói leírás. 1.0 verzió. Budapest, devember 28. A dokumentumot késztette a NETvisor Zrt

KözHáló

Önkormányzati Biztonsági Központ Felhasználói leírás

1.0 verzió

Budapest, 2009. devember 28.

A dokumentumot késztette a NETvisor Zrt.

Közháló Önkormányzati Biztonsági Központ – Felhasználói leírás

v1.0

Copyright Jelen dokumentumhoz fűződő valamennyi jog a NETvisor Zrt. tulajdonát képezi. A dokumentum szigorúan bizalmas, bármely részének a NETvisor Zrt. szándékától eltérő felhasználása, másolása, változatlan vagy módosított formában történő közlése tilos, kivéve, ha a NETvisor Zrt. ahhoz kifejezett hozzájárulását adja.

© NETvisor Zrt. 2009, Minden jog fenntartva.

NETvisor Zrt.

2


v1.0

Tartalomjegyzék

Tartalomjegyzék ................................................................................................................... 3 1.1 ÖBK jogosultság kezelő rendszer .............................................................................. 4 1.1.1 AVSR felhasználói útmutató ...................................................................................................... 4 1.1.1.1 1.1.1.2 1.1.1.3 1.1.1.4 1.1.1.5 1.1.1.6 1.1.1.7 1.1.1.8

1.1.2

Belépés a hálózatba .............................................................................................................................. 4 Kitiltás jelszó probléma miatt ............................................................................................................... 8 Kitiltás PC fenyegetettség miatt ........................................................................................................... 8 Kitiltás illegális tevékenység miatt ....................................................................................................... 9 Jelszó változtatás .................................................................................................................................. 9 Kilépés a hálózatból (logout) .............................................................................................................. 10 Belépés több végponton ..................................................................................................................... 10 Proxy használat a végponti hálózaton ................................................................................................. 11

AVSR végponti adminisztrátori útmutató ................................................................................ 11

1.1.2.1 1.1.2.2 1.1.2.3 1.1.2.4 1.1.2.5 1.1.2.6 1.1.2.7 1.1.2.8

Portál belépés ..................................................................................................................................... 14 Felhasználók felvétele ........................................................................................................................ 15 Felhasználók módosítása .................................................................................................................... 16 Munkaállomások felvétele .................................................................................................................. 17 Publikus szerverek felvétele ............................................................................................................... 18 Belső szerverek, nyomtatók, egyéb hálózati eszközök felvétele ......................................................... 19 További hub, switch, WiFi access-point megadásának lehetősége ..................................................... 20 Hibakereséshez útmutató .................................................................................................................... 21

1.2 Önkiszolgáló web portál .......................................................................................... 23 1.2.1 Elérhetőség .............................................................................................................................. 23 1.2.2 Önkiszolgáló portál funkciói.................................................................................................... 23 1.2.2.1 1.2.2.2 1.2.2.3 1.2.2.4

1.2.3

Változtatások ........................................................................................................................... 24

1.2.3.1 1.2.3.2 1.2.3.3 1.2.3.4 1.2.3.5 1.2.3.6

NETvisor Zrt.

Monitoring információk ..................................................................................................................... 23 Forgalmi és elérhetőség grafikonok .................................................................................................... 23 Lockolt eszközök, felhasználók megtekintése .................................................................................... 23 Intézmény adatok ............................................................................................................................... 24 Végponti tűzfal konfigurálása ............................................................................................................ 24 Felhasználó módosítása ...................................................................................................................... 32 Felhasználó Hozzáadása ..................................................................................................................... 33 Eszköz adatok ..................................................................................................................................... 34 Router adatok ..................................................................................................................................... 35 Switch adatok ..................................................................................................................................... 36

3


1.1

v1.0

ÖBK jogosultság kezelő rendszer

1.1.1 AVSR felhasználói útmutató Az AVSR (AccessVisor) beléptető rendszer feladata, hogy a Közháló ÖBK alhálózatába kapcsolt önkormányzati végpontok esetében a felhasználók azonosítása után a jogosultsági szintnek megfelelő hozzáférést biztosítson a hálózat használatához. A Közhálót csak az AVSR alá felvett felhasználók használhatják, és csak a hozzájuk rendelt jogosultsági szint alapján. Az AVSR felhasználói adatbázisa független az önkormányzatok helyi hálózatán már megszokott Windows bejelentkezéshez tartozó adatbázistól. Az AVSR alá új felhasználót csak az önkormányzati rendszergazda vehet fel. 1.1.1.1

Belépés a hálózatba

A számítógép bekapcsolása után a megszokott módon kell a Windows alá bejelentkezni. Windows bejelentkezés után alaphelyzetben a hálózatba kapcsolt számítógép azonosítási állapotban van. Az azonosítási állapot során eléri a vele egy Ethernet VLAN-on található többi számítógépet, ezen túl nincs korlátozva a számítógép indulásához szükséges háttér kommunikációban (pl. DNS szerverek elérése, Windows login szerver elérése). Minden egyéb kommunikáció tiltott, vagyis nem látja az Önkormányzat többi szegmensén található számítógépeket, és nem kezdeményezhet forgalmat sem a ÖBK hálózata, sem az Internet felé. Az AVSR azonosítás tetszőleges böngésző indítása, és valamilyen WEB oldal elérése után indul. A böngésző az alábbi üzenet megjelenítése után automatikusan az AVSR beléptető felületére lép tovább.

NETvisor Zrt.

4


v1.0

Első használat során az AVSR tanúsítvány felvétele szükséges. Az AVSR tanúsítvány biztosítja azt, hogy a megadott név és jelszó titkosítva haladjon át a hálózaton. Internet Explorer esetében az alábbi figyelmeztetés jelenik meg. A „View Certificate” gomb kiválasztása szükséges, majd a következő lapon az „Install Certificate”gombra kell kattintani.

A Wizard indulása után Next, Next, Finish gombok.

NETvisor Zrt.

5


v1.0

Egy utolsó figyelmeztető ablak, „Yes”-t kell választani. A sikeres betöltést külön üzenet jelzi.

Visszatérve a kezdeti ablakokhoz: Ok, majd Yes megnyomása szükséges:

FireFox böngésző esetében a tanúsítvány betöltéséhez a „Tanúsítvány tartós elfogadása” opció kiválasztása, majd OK gomb szükséges:

NETvisor Zrt.

6


v1.0

A tanúsítvány mentése után megjelenik az AVSR bejelentkezési ablak. Itt a megfelelő felhasználó név, és a hozzá tartozó jelszó megadása szükséges:

Sikeres jelszó megadás után pár másodperces PC ellenőrzés (fenyegetettség vizsgálat) következik, és ha nem talál problémát az AVSR, akkor az alábbi üzenet jelenik meg:

Az üzenet megjelenésével egyidőben az AVSR a végponti switch és router eszközökben engedélyezi a számítógép számára a hálózati elérést, amivel várhatóan legfeljebb 20 másodperc alatt készül el. Ezután a böngésző automatikusan az eredetileg kért oldalra lép tovább, és egyéb alkalmazások is hozzáférhetnek a hálózathoz.

NETvisor Zrt.

7


v1.0

Bizonyos esetekben előfordul, hogy a 20 másodperc eltelte után a böngészőnél Timeout (Időtúllépés) hiba jelenik meg. Ekkor a Refresh (Frissítés) megnyomása után az eredetileg várt oldal kell hogy feljöjjön. Az újbóli azonosítás tipikusan 16 óra után szükséges, ami a gyakorlatban várhatóan azt jelenti, hogy minden reggel a munka megkezdésekor kell a hálózatba belépni. A 16 óra lejárta után a tiltott állapot onnan látszik, hogy a nem WEB-es alkalmazások nem képesek az Internettel kommunikálni, a WEB böngészők az AVSR bejelentkező oldalra kerülnek átirányításra, valamint az esetleg nyitva hagyott oldalakon a képek helyet „STOP” felirat jelenhet meg:

Ekkor tetszőleges linkre kattintva az AVSR bejelentkező oldal jelenik meg, ahol újbóli bejelentkezés szükséges, és utána a munka tovább folytatható. 1.1.1.2

Kitiltás jelszó probléma miatt

Ha egy felhasználó egymás után 5 esetben hibásan adja meg jelszavát, akkor a felhasználó azonosítója letiltásra kerül. A letiltásról a felhasználó figyelmeztetést kap az AVSR bejelentkező oldalon. Felhasználó letiltás esetén a problémás azonosítóval30 percig nem lehet bejelentkezni. Utána a tiltás automatikusan feloldásra kerül. Ha a felhasználó 30 percen belül be szeretne jelentkezni, kérje a helyi rendszergazda segítségét. A tiltást a helyi rendszergazda a Portál felületen bármikor feloldhatja. Ha a rendszergazda saját magát zárja ki, akkor ki kell várnia a 30 percet, vagy az Ügyfélszolgálaton keresztül engedélyeztetheti belépési azonosítóját. 1.1.1.3

Kitiltás PC fenyegetettség miatt

Rendszeres időközönként az AVSR a jelszó ellenőrzés után fenyegetettség vizsgálatot is végez a bejelentkező felhasználó munkaállomásán. A fenyegetettség vizsgálat a munkaállomásra történő belépés nélkül, hálózaton keresztül történik. A munkaállomás működését a vizsgálat nem befolyásolja.

NETvisor Zrt.

8


v1.0

A vizsgálat során olyan, a teljes hálózat integritását fenyegető biztonsági veszélyeket vizsgál, mint pl. fut-e káros backdoor vagy féreg program, vagy hogy hiányzik-e kritikus operációs rendszer frissítés. A vizsgálat 10-20 másodpercig tart. Ha kisebb súlyú fenyegetettséget észlel, akkor megjeleníti a talált problémát, javaslatot tesz az elhárítására, de attól még beengedi a felhasználót a hálózatra. Kritikus fenyegetettség esetén nem is engedi be a felhasználót. Ez esetben a kiírt javaslat szerint kell eljárni, majd a probléma elhárítása után a bejelentkezést újra meg kell próbálni. Ha a fenyegetettség vizsgálat ekkor már nem talál problémát, a munkaállomást beengedi a hálózatra. A fenyegetettség vizsgálat következtében történő tiltás feloldásához nem kell a helyi rendszergazda segítsége. A fenyegetettség vizsgálat – mivel a munkaállomás belső állapotáról nem kap információt – értelemszerűen nem képes minden vírus, féreg, spyware, vagy backdoor fertőzést kimutatni. Éppen ezért a vizsgálat nem helyettesíti az egyes munkaállomásokra telepített víruskereső programokat, sem a rendszeres frissítések (automatikus Windows Update, böngésző frissítés, stb.) használatát. 1.1.1.4

Kitiltás illegális tevékenység miatt

Az egyes munkaállomások Internet felé folytatott forgalmát a biztonsági szabályzatoknak megfelelően folyamatosan figyeljük és ellenőrizzük. A biztonsági elvárásokat sértő forgalom esetén (pl. vírusos levél küldése, P2P forgalom, …) a felhasználó munkaállomását azonnal kitiltjuk a hálózatról. Web böngészőt indítva az AVSR bejelentkező ablak helyett a tiltás ténye, oka, és az elhárítási javaslat jelenik meg. Erre a munkaállomásra a továbbiakban nem lehet belépni. Az újbóli engedélyezéshez az alábbiakat kell tenni: 

A jezett problémát el kell hárítani (vírus leírtása, P2P alkalmazás törlése, stb.)



A végponti rendszergazda a Portál felületen kell hogy újra engedélyezze a munkaállomást



Ezután jelenik csak meg a munkaállomáson futó WEB böngészőben az AVSR login ablak, ahol felhasználónak újra be kell jelentkeznie.

A biztonsági rendszer – a jogi szabályozásoknak megfelelően – naplózza és nyilvántartja az egyes munkaállomásokról kezdeményezett kapcsolatokat (vagyis hogy melyik munkaállomás milyen Internetes szerverrel és mikor vett fel kapcsolatot). A napló állományokat védett helyen tároljuk, és csak probléma esetén (rendőrségi megkeresés, egyéb incidens) vizsgáljuk meg részletesebben. A biztonsági rendszer által vizsgált forgalom tartalmát viszont – amennyiben az on-line vizsgálat során abban nem talált biztonsági jellegű problémát – a rendszer sem eredeti, sem kivonatolt formában nem tárolja. A ÖBK hálózata felé irányuló titkosított forgalmat, egyéb titkosított VPN forgalmat, valamint biztonságos web szerverek (https szerverek) felé irányuló forgalmat érelemszerűen nem tudunk sem egyedi kapcsolatok sem tartalom alapján vizsgálni. 1.1.1.5

Jelszó változtatás

A felhasználó jelszavát bármikor saját maga is megváltoztathatja. A jelszó váltás a Portál oldalon keresztül történhet. A Portál az alábbi URL alatt érhető el: http://portal.local.netvisor.hu

NETvisor Zrt.

9


v1.0

A belépéshez a végponti azonosítóval bővített felhasználó azonosítót kell használni. Például ha a végpont azonosítója K5001 és a felhasználó AVSR login neve „kissp”, akkor a portál login név „K5001_kissp” lesz. A belépés után a megváltoztatott jelszó azonnal érvényre jut. A legközelebbi (tipikusan másnap reggeli) AVSR belépéskor már az új jelszót kell használni. Amennyiben elfelejtette volna jelszavát, a helyi rendszergazda a Portál segítségével új jelszót adhat bármelyik felhasználónak. 1.1.1.6

Kilépés a hálózatból (logout)

A munkaállomás leállítása, vagy a Windows-ból történő kilépés nem jelenti automatikusan az AVSRből történő kijelentkezést. A munkaállomás AVSR-ben történő engedélyezett állapota az elfogadott időn belül (tipikusan azon a munkanapon) reboot után is megmarad. Ha az AVSR-ből is ki szeretné léptetni munkaállomását, azt külön meg kell tennie a Windows kijelentkezés előtt. Célszerű az AVSR-ből kilépni az alábbi esetekben: 

Ha a munkaállomást másik felhasználó is használhatja, akinek az AVSR jogosultsága eltérő. Például az egyik felhasználó Fokozott jogosultságú (használhatja ÖBK adatbázisokat), míg a másik felhasználó csak Normál jogosultságú (nem használhatja adatbázisokat).



Ha biztos akar lenni abban, hogy távollétében más nem használja az Ön azonosítója alatt az Internetet

Az aktuális munkaállomást az AVSR-ből tetszőleges felhasználó kiléptetheti, mert a munkaállomáson indított böngészőtől az AVSR a kilépéshez jelszót nem kér. Ehhez az alábbi oldalt kell a böngészővel megnyitni: http://avsr.local.netvisor.hu/ Ha még érvényes az előző bejelentkezés, úgy láthatóvá válik a kilépés link. Egy bizonyos felhasználó összes belépését a Portál felületről lehet törölni: http://portal.local.netvisor.hu/ A rendszergazda tetszőleges felhasználót kiléptethet, a felhasználók viszont csak saját magukat. Az innen kezdeményezett kilépés minden – a felhasználó által használt – munkaállomásra vonatkozik, vagyis ha a vendég terminálok Guest nevű felhasználóját lépteti ki a rendszergazda, akkor az összes vendég terminal egyszerre fog azonosítási állapotba visszakerülni. 1.1.1.7

Belépés több végponton

Amennyiben egy felhasználó több Önkormányzatnál is szeretne a hálózatba belépni (pl. körjegyzők), mindegyik Önkormányzat helyi rendszergazdájától kérnie kell egy-egy felhasználó azonosítót. Ezek független AVSR felhasználóként szerepelnek az adatbázisban, és jelszavuk is eltérők lehetnek (bár célszerű mindenhol ugyanazt a jelszót használni). Az alábbi példa egy lehetséges kialakítást mutat, feltételezve, hogy az alábbi végpontok egyikében sem szerepelt még eddig „kissp” azonosító alatt felhasználó: Önkormányzat azonosítója K5000 K5001 K5002

NETvisor Zrt.

Felhasználó teljes azonosítója (Portál belépéshez) K5000_kissp K5001_kissp K5002_kissp

Felhasználó helyi azonosítója (AVSR belépéshez) kissp kissp kissp

Felettes adminisztrátor K5000_admin K5001_admin K5002_admin

10


v1.0

A fenti táblázatból is látszik, hogy az AVSR belépés során a végpontra jellemző azonosítót nem kell megadni, mivel azt az AVSR automatikusan hozzárakja a megadott névhez. 1.1.1.8

Proxy használat a végponti hálózaton

Ha az Önkormányzati hálózaton web proxy szervert üzemel (tipikusan MS ISA, Squid), az AVSR nem lesz képes az azonosítási fázisban a felhasználó böngészőjének a forgalmát az AVSR login oldalra irányítani. A web proxy-n keresztül ugyanis a böngésző forgalma nem lesz korlátozva, viszont a többi alkalmazás számára nem érhető el a hálózat az AVSR belépés előtt. Proxy használata esetében a felhasználónak az alábbi oldalt kell a böngészővel megnyitnia: http://avsr.local.netvisor.hu/ A továbbiakban az AVSR belépés a megszokott módon végezhető. A felhasználó felelőssége, hogy rendszeresen (tipikusan minden reggel mukakezdéskor) a fenti AVSR login oldalon keresztül ellenőrizze jogosultságát, és belépjen a rendszerbe, ha szükséges.

1.1.2 AVSR végponti adminisztrátori útmutató Az AVSR az ÖBK alhálózaton belül az alábbi feladatokat látja el: 

Felhasználók és számítógépek nyilvántartása, azonosítása



Közháló végponton a switch portok megfelelő VLAN-ba tartozásának kezelése



Közháló végponti tűzfalon az egyes végponti eszközök (tipikusan munkaállomások) Internet felé történő kilépésének engedélyezése



Fenyegetettség teszt (egyszerűsített port scan) végzése, figyelmeztetés, esetleg tiltás



Tiltott forgalom (például vírus) esetén figyelmeztetés, letiltás

Az AVSR megfelelő működéséhez a végponti rendszergazdának el kell látnia az AVSR-t a helyes működéshez szükséges információkkal. Ezek legalább az alábbiak: 

Az Önkormányzatnál dolgozó munkatársak felvétele



A végponton üzemeltetett publikus (web, mail, stb.) szerverek megjelölése



A végponton üzemeltetett belső szerverek (file, nyomtató szerver) és felhasználóktól független eszközök (hálózati nyomtatók, menedzselhető UPS-ek, IP telefonok, WEB kamerák) megjelölése



Amennyiben a Közháló switch-re további L2 Ethernet eszköz csatlakozik (saját switch, hub, vagy access point), annak megjelölése

A fenti információk birtokában az AVSR pontosan meg fogja tudni állapítani az egyes hálózati eszközök funkcióját, és be tudja állítani a Közháló switch-et és routert a megfelelően biztonságos működéshez. Az ÖBK alhálózaton belül (a hagyományos Közháló Publikus/Privát/Védett szegmenst felváltandó) az alábbi jogosultsági szintek lettek meghatározva. 

NETvisor Zrt.

Normál jogosultsági szint. Az alhálón belül egyedi, de RFC-1918 privát címeket használó szegmens. Tipikusan önkormányzati dolgozók munkaállomásai valamint a belső Windows

11


v1.0

szerverek részére lett kialakítva. Tiltott forgalom (pl. vírus érzékelése) esetén a munkaállomások karantén VLAN-ba kerülnek. Az itt található munkaállomások a magasabb biztonsági szintű (Fokozott) szegmens felé kapcsolatot nem kezdeményezhetnek. A központi szerverek IPSec kapcsolaton keresztüli elérésére nem jogosult szegmens. 

Fokozott jogosultsági szint. Paraméterekben az előzővel megegyező szint, de jogosult a központi szerverek elérésére is.



Publikus jogosultsági szint. Ez a szint publikus (Interneten is regisztrált) IP címeket biztosít. Tipikusan ide érdemes elhelyezni azokat a szervereket, melyek az Internet felé valamilyen szolgáltatást biztosítanak (WEB szerver, FTP szerver, levelező szerver). A szinten hozzáférés-azonosítás nem szükséges. Tiltott forgalom (pl. vírus érzékelése) esetén karantén VLAN-ba a szerverek nem kerülnek át, de a központi tűzfalon az IP szintű tiltás (shun) aktiválva lesz. Az itt található szerverek a magasabb biztonsági szintű szegmensek felé kapcsolatot nem kezdeményezhetnek. Az Internet és a "Vendég" szint felől alap esetben semmilyen kapcsolat nem engedélyezett, de a Portálon keresztül a megfelelő szolgáltatásokhoz tartozó portok megnyithatóak. A központi szerverek felé mutató IPSec kapcsolatot nem használhatja.



Vendég jogosultsági szint. Az alhálón belül egyedi, de RFC-1918 privát címeket használó szegmens. Tipikusan vendégek részére fenntartott Internet terminálokat célszerű ide helyezni. Tiltott (pl. vírus érzékelése) esetén a munkaállomások karantén VLAN-ba kerülnek. Az itt található munkaállomások egyik másik szegmens felé sem kezdeményezhetnek kapcsolatot (kivétel az Internet felől is megnyitott publikus szerver szolgáltatások). A központi ÖBK szerverek felé mutató IPSec kapcsolatot nem használhatja.



Karantén jogosultsági szint. Tiltott forgalom (pl. vírus) érzékelése esetén kerül erre a VLANra a problémás munkaállomás. Az előzőeknél annyival szigorúbb szegmens, hogy semmilyen kommunikáció nincs engedélyezve a többi szinttel (pl. Windows domain esetében a munkaállomás a Domain Controller felé sem fog tudni kommunikálni). A szintről csak a rendszergazda szedheti ki munkaállomást a Portál felületen.



Szabad jogosultsági szint. A szabad szint tulajdonképpen egy vagy több olyan szabadon felhasználható VLAN-t biztosít, melyre a végponti router nem csatlakozik. Itt a helyi rendszergazda szabadon oszthat ki IP címeket, de saját magának kell biztosítania a külvilág eléréséhez szükséges tűzfalat. Mivel erről a szintről a kifelé történő kommunikáció a Közháló eszközeinek felhasználásával nem biztosított, a rendszer semmilyen biztonsági mutatót nem vár itt el. Akkor célszerű egy vagy több ilyen szintet kérni, ha a végponti switch bizonyos portjait a rendszergazda független switch-ként, egyéb célra szeretné használni.

Az egyes szintek paramétereit az alábbi táblázat foglalja össze. Jogosultsági szint

Régi közháló szegmens

AVSR belépés

DHCP címkiosztás

Internet elérés

ÖBK szolgáltatások elérése

Normál

Privát

Van

Van (saját szerver is lehet)

Azonosítás után

Nincs

Van (kivéve szerverek)

Fokozott

Védett

Van


Azonosítás után

Azonosítás után

Van (kivéve szerverek)

Publikus

Publikus

Nincs

Nincs

Mindig engedélyezett

Nincs

Nincs

Vendég

-

Van


Azonosítás után

Nincs

Van

Karantén

-

Van

Van

Nincs

Nincs

Szabad 1 Szabad 2 Szabad 3

Lokális 1 Lokális 2 Lokális 3

-

-

-

-

NETvisor Zrt.

Tiltott forgalom esetén letiltás

(ide kerül a letiltott PC) -

Bekerülés lehetősége

Switch port, fix szerver, felhasználó belépés Switch port, fix szerver, felhasználó belépés Switch port, fix szerver Switch port, fix PC, felhasználó belépés Illegális fogalom Switch port Switch port Switch port

12


v1.0

Az egyes eszközök (munkaállomások) életciklusát tekintve az alábbi állapotok jöhetnek szóba: 

Azonosítás előtti állapot. A munkaállomás már a megfelelő VLAN-ban van (ami első belépéskor a Normál, később tipikusan a legutóbb használt VLAN), de a forgalma még nem engedélyezett az Internet felé. A WEB forgalma az AVSR Login oldalra kerül továbbításra.



Üzemi állapot. Az előző állapotból sikeres felhasználó azonosítás után kerül ide a munkaállomás. A PC a megfelelő VLAN-ban van, és forgalma sincsen korlátozva. Elérheti a többi szegmenst, az Internetet, és fokozott szint esetén a ÖBK szolgáltatásokat is. A fix VLAN-hoz rendelt eszközök (szerverek és nyomtatók) mindig Üzemi állapotban vannak.



Karantén állapot. Tipikusan vírusforgalom esetén kerül a PC ebbe az állapotba. Ilyenkor az elszigetelt Karantén VLAN-ba kerül át a PC. A központi karantén szervert elérheti, de sem az Internetet, sem a helyi számítógépeket nem látja. Helyi rendszergazda állíthatja csak vissza a PC-t azonosítás előtti állapotba a Portál felületen.

Az egyes munkaállomások jogosultsági szintje (VLAN-ba tartozása) az alábbiak szerint kerül meghatározásra. Az első érvényes szabálysor fogja a munkaállomás VLAN szintjét meghatározni. 

Ha a csatlakoztatott switch port fix VLAN-ba van rendelve (tipikusan amikor a munkaállomás egy külső switch-en keresztül csatlakozik a Közháló szekrényhez), ez a beállítás érvényesül.



Ha az eszközhöz van megadva fix VLAN (tipikusan szerverek, nyomtatók), akkor ezt a VLAN-t fogja használni.



Ha tiltott forgalom miatt ki van zárva a munkaállomás, akkor Karantén VLAN-ban van.



Ha van éppen belépett AVSR felhasználó (még érvényes a legutolsó belépése), akkor a felhasználó jogosultsági szintje határozza meg a munkaállomás szintjét.



Ha nincs belépve felhasználó, de régebben már lépett be valaki, akkor a legutolsó jogosultsági szinten (VLAN-ban) marad a munkaállomás.



Eszköz első használatakor automatikusan az alapértelmezett (Normál) jogosultsági szintet állítja be AVSR.

Az alábbiakban a rendszergazda részéről elérhető Portál szerver funkciókat írjuk le.

NETvisor Zrt.

13


1.1.2.1

v1.0

Portál belépés

Az adminisztrátori funkciók a Portál oldalon keresztül, az alábbi URL alatt érhetők el: http://portal.local.netvisor.hu A belépéshez a végponti azonosítóval bővített felhasználó azonosítót kell használni. Például ha a végpont azonosítója K5001 és az adminisztrátor AVSR login neve „admin”, akkor a portál login név „K5001_admin” lesz. A belépés után a nyitó oldal látható:

A bal oldali menü alatt a „Változtatások” csoportra kattintva lesznek láthatók az AVSR beállítási feladatokat biztosító funkciók:

NETvisor Zrt.

14


1.1.2.2

v1.0

Felhasználók felvétele

A bal oldali menüben található „Felhasználó hozzáadása” linkre kattintva jelenik meg az alábbi oldal.

Ez egyes kitöltendő mezők: 

Felhasználó login neve. Maximum 8 karakter, nem tartalmazhat speciális karaktereket (az angol ABC kis betűi, és számok használata javasolt). A végponton egyedi kell hogy legyen. Az nem probléma, ha másik végponton már van ilyen nevű felhasználó.



Jelszó. A két mezőnek meg kell egyeznie. Felhasználó később maga is megváltoztathatja.



Felhasználó név.



Felhasználó hálózati jogosultsági szintje (VLAN meghatározás, a Normál az alapértelmezett)



Egyedi jogosultságok (ha a felhasználó nem helyi rendszergazda, az alapértelmezett üres jogosultság megfelelő).

A felvétel után a visszaigazolás jelenik meg:

NETvisor Zrt.

15


1.1.2.3

v1.0

Felhasználók módosítása

A „Felhasználó módosítása” linkre kattintva a végpont alá létrehozott felhasználók listája jelenik meg.

A módosítandó felhasználó kiválasztása majd az „OK” gombra kattintás után a felhasználó részletesebb paraméterei jelennek meg, de még mindig csak olvasható (read-only) módon.

NETvisor Zrt.

16


v1.0

A „Módosítás” gombra történő kattintás után jön fel az alábbi módosító oldal:

Az egyes mezők jelentése:

1.1.2.4



Login név: nem módosítható



Jelszó: üresen hagyva nem lesz megváltoztatva. Ha változtatás szükséges, akkor mindkét mezőben ugyanazt kell megadni.



Felhasználó név: felhasználó neve.



VLAN: felhasználó hálózati jogosultsági szintje.



Felhasználó zárolása: Ha a felhasználó túl sokszor adott meg hibás jelszót, akkor az itt látható pipa törlésével a felhasználó belépése újra engedélyezhető. A pipa kijelölésével viszont a felhasználó minden további belépése letiltható. Ilyenkor javasolt kizárás okának leírása az „Indoklás” mezőbe.



Felhasználó kiléptetése az összes munkaállomásról: A felhasználó nevében használt munkaállomások azonnal visszakerülnek azonosítás előtti állapotba.



Felhasználó törlése: A felhasználó törlésre kerül az AVSR rendszerből.



Felhasználói jogosultságok: A kis nyilak segítségével engedélyezhetők vagy tilthatók az egyes jogosultságok. A helyi adminisztrátorok jogosultsági hatásköre szabályozható velük. Az aktuálisan bejelentkezett adminisztrátor saját jogosultsági körét nem módosíthatja.

Munkaállomások felvétele

Az AVSR rendszer folyamatos kapcsolatban áll az összes ÖBK alhálózatba bevont Közháló switch-el és router-rel. Amennyiben a végponti hálózatra új PC csatlakozik, annak adatait (Ethernet MAC címét, illetve ha van akkor IP címét) megkapja és tárolja belső adatbázisában. Az újonnan megjelent munkaállomások alapértelmezett módon „Dinamikus” szint hozzárendelést kapnak, vagyis a rajtuk keresztül AVSR alá bejelentkezett felhasználó jogosultsága fogja meghatározni, hogy melyik VLAN-ba kerül be a munkaállomás.

NETvisor Zrt.

17


v1.0

Rendszergazdának AVSR alá munkaállomást kézzel felvennie nem kell, és nincs is erre lehetősége. Az AVSR alatt megjelenő munkaállomások viszont módosíthatóak (lásd következő fejezet). A módosítás kitérhet az alábbiakra:

1.1.2.5



A munkaállomáshoz név rendelése (csak információ, működést nem befolyásolja).



Munkaállomás kijelölése fix VLAN-ba tartozó szervernek (lásd következő fejezetek).



Munkaállomás törölhető AVSR adatbázisból.

Publikus szerverek felvétele

Publikus (Internet felől is elérhető) levelező, WEB, FTP vagy egyéb e-önkormányzati jellegű szolgáltatásokat biztosító szervereket a Publikus jogosultsági szintre kell elhelyezni. A Portál oldalon az „Eszköz adatok” linkre kattintva megjelenik a végponton regisztrált hálózati eszközök listája.

A megfelelő szerver az Ethernet MAC címe alapján választható ki. Windows 98 esetében a „winipcfg” parancs használatával, újabb Windows esetében az „ipconfig /all” megadásával lehet a PC Ethernet címét megállapítani. Linux esetében az „ifconfig -a” használata javasolt. A megfelelő eszköz kiválasztása után további információk is láthatók:

NETvisor Zrt.

18


v1.0

A „Módosítás” gombra kattintva jön fel a módosítást is lehetővé tévő oldal:

A megadható paraméterek: 

Eszköz név: informális mező, a későbbi egyszerűbb Portál használat érdekében javasolt kitölteni.



VLAN beállítás: az alapértelmezett „Dinamikus” állapotról a publikus szintre kell átállítani.

A művelet befejeztével az AVSR a szerver által aktuálisan használt switch portot a Publikus VLAN alá helyezi át. Itt hívjuk fel a figyelmet, hogy a Publikus VLAN alatt DHCP szolgáltatás nincsen, így az ide sorolt PC-k IP címét rendszergazda fixen kell hogy beállítsa. Ha a későbbiekben az így megjelölt PC-t véletlenül másik switch port-ra csatlakoztatják, az AVSR azt a portot is automatikusan Publikus VLAN-ba rakja át. 1.1.2.6

Belső szerverek, nyomtatók, egyéb hálózati eszközök felvétele

A publikus szerverekhez hasonlóan meg kell jelölni az összes olyan belső hálózati eszközt, amely előtt nem ül felhasználó (vagyis nem futtatható rajta böngésző, amivel az AVSR belépés megvalósítható lenne). Tipikusan ilyen eszközök: 

Windows, Linux alapú szerverek



Hálózati nyomtatók



Ethenet interfésszel rendelkező menedzselhető UPS-ek



Menedzselhető hálózati eszközök (switch, wireless access point) menedzsment IP címe



Hálózati WEB kamera



IP Telefon



Egyéb hálózati eszközök, melyeken nem futtatható böngésző (mérőműszerek, …)



Egyéb, fix IP címet használó eszközök (a fix IP cím miatt nem szabad megengedni, hogy ezek az eszközök dinamikusan másik VLAN-ba kerülhessenek).

Ezen eszközöket a megfelelő működésükhöz az előző fejezetben leírtakhoz hasonló módon kell valamelyik belső VLAN-hoz rendelni. A fontosabb lépések:

NETvisor Zrt.



Eszköz csatlakoztatása switch-re, és bekapcsolása (hogy MAC címe belekerüljön AVSR adatbázisába)



Portál felületen az „Eszköz adatok” menü alatt az eszköz kiválasztása (MAC address alapján), majd név adás, és fix VLAN-ba rendelés.

19




v1.0

Ezután AVSR azt a switch portot, melyre ez az eszköz csatlakozik, automatikusan a kért VLAN-ba rakja, és az eszköz IP címét (amennyiben rendelkezésre áll) engedélyezi Internet elérésre.

Érdemes ellenőrizni, hogy az eszköz a VLAN-jának megfelelő IP címet használ, valamint hogy képes-e kommunikálni a hálózaton. Ha gond van az Internet eléréssel (nagy ritkán IP cím csere után fordulhat elő), akkor javasolt az eszközön egy böngészőt indítani és egy tetszőleges Internet oldalra ellátogatni (hogy AVSR érzékelje az új IP címet), vagy ha ez nem lehetséges, akkor a hálózati csatlakozót pár másodpercre ki kell húzni majd visszadugni (ekkor AVSR megpróbálja megállapítani az eszköz új IP címét). 1.1.2.7

További hub, switch, WiFi access-point megadásának lehetősége

Ha a Közháló switch-re külső L2 eszköz (Ethernet switch, hub, Wireless Access Point) csatlakozik, akkor a Közháló switch megfelelő portját az AVSR elett fix VLAN-hoz kell rendelni. Ellenkező esetben (az alapértelmezett Dinamikus port használat mellett) előfordulhatna, hogy a külső switch egy munkaállomása miatt a Közháló switch port másik VLAN-ba kerül, miáltal a külső switch-re csatlakozó összes eszköz elvesztené hálózati kapcsolatát. Ne használjon fix port beállítást publikus szerverekhez, erre a célra az előző fejezetekben leírt eszközhöz rendelt fix VLAN beállítása a javasolt módszer. A switch módosítás a bal oldali „Switch adatok” linkre kattintva érhető el. Első lépésben a Portálon megjelenik az aktuális beállítás.

NETvisor Zrt.

20


v1.0

A „Módosítás” gombra kattintva érhető el az alábbi oldal:

A megfelelő módosítás után a „Mehet” gombra kattintva az AVSR elvégzi a kért módosításokat a végponti Közháló switch-ben. 1.1.2.8

Hibakereséshez útmutató

Első lépésben célszerű ellenőrizni, hogy van-e fizikai kapcsolat, és hogy kapott-e munkaállomás IP címet. Javasolt parancs: “ipconfig /all” -> van fizikai kapcsolat? (Media disconnected?) -> kapott DHCP-vel címet? (A 0.0.0.0 azt jelenti még keresi a címet, a 169.254.*.* azt jelenti, nem kapott címet) -> DHCP-s vagy fix címet használ PC (van-e „DHCP Server” sor?) -> melyik VLAN címtartományból kapott? (Összevetni kiadott útmutatóval. Ha a karanténba került PC, akkor nincs hálózati elérése) Ha nincs fizikai kapcsolat, ellenőrizni kell a hálózati kábelt. A Közháló switch-en a PC-hez tartozó port LED-je zöld kell hogy legyen. Ha nem világít, vagy sárgán világít, akkor fizikai probléma van.

NETvisor Zrt.

21


v1.0

Ha a PC fix címet használ, és az IP címe publikus cím (81.160.*.*), akkor ez így rendben van (a Publikus szegmensen nincsen DHCP szolgáltatás). Ha a PC fix IP címet használ, de nem publikus az IP cím (tipikusan 10.*.*.* vagy 192.168.*.* vagy 172.*.*.* címek lehetnek), akkor ez lehet a rendellenes működés oka. Ha a PC szerver, akkor fix VLAN-t kell hozzá rendelni a Portál felületen. Ha a PC munkaállomás, akkor érdemes dinamikus (DHCP) címet beállítani neki. Ha a PC dinamikus (DHCP) címet használ, és nem kapott címet (169.254.*.* címet mutat ipconfig), akkor az alábbi irányban érdemes a hibát keresni: -> Közháló router be van kapcsolva? -> Közháló router és switch között megvan a kapcsolat? (zölden világít a Közháló switch 24-es portja?) -> Ha nemrég volt router bekapcsolva, vagy előbb volt PC bekapcsolva mint a router, akkor érdemes megpróbálni az IP cím megújítást (“ipconfig /renew” parancs). -> Egy másik munkaállomásról bejelentkezni Portál oldalra, és ott ellenőrizni, milyen VLAN-ba került a problémás munkaállomáshoz tartozó switch port. Valamint, hogy ahhoz a VLAN-hoz tartozó DHCP szolgáltatás be van-e kapcsolva (a Publikus szegmensen soha nincs DHCP szolgáltatás, a többi szegmensen lehet kérni a kikapcsolását). Ha az IP cím rendben van, érdemes ellenőrizni, hogy a router elérhető-e. A router címe az előző parancsból állapítható meg („Default Gateway” sor): Javasolt parancs: „ping ” -> Jön válasz csomag? Ha nincs válasz, akkor az alábbi problémák merülhetnek fel: -> PC fix IP címet használ (nem DHCP szervertől kapott címet), és rossz jogosultsági szintre került. Portál oldalon egy másik munkaállomásról a megfelelő jogosultság beállítható. -> PC dinamikus (DHCP alapú) címet használ, de valamiért VLAN váltás után nem kért új címet. Érdemes az „ipconfig /release” majd az „ipconfig /renew” parancsokat egymás után kiadni.

NETvisor Zrt.

22


1.2

v1.0

Önkiszolgáló web portál

1.2.1 Elérhetőség Az önkiszolgáló web portál célja, hogy a végponti felhasználóknak, illetve az üzemeltetést végző szolgáltatóknak felületet biztosítson, ahonnan elérhetőek a munkáját segítő alkalmazások. Felületet biztosít továbbá a ÖBK számára, hogy a rendszerben keletkező log bejegyzések figyelésével figyelemmel kísérhesse a működést.

1.2.2 Önkiszolgáló portál funkciói A portál különböző alkalmazásokat tesz elérhetővé a végponti felhasználók, rendszergazdák számára és mást a szolgáltatók számára. Az alábbiakban a teljes alkalmazáslista kerül bemutatásra. Az önkiszolgáló portálon a funkciók a következő csoportokra lettek bontva: 

Monitoring információk



Változtatások



Rendszerfelügyelet



Segítség



Kapcsolódó linkek

1.2.2.1

1.2.2.2

Monitoring információk

Forgalmi és elérhetőség grafikonok

ÖBK alhálóba tartozó végponti router és switch eszközök performancia monitorozása (PVSR) A PVSR alkalmazás segítségével a KözHáló hálózatba kapcsolt összes végpontról lekérdezhetjük forgalmukat, elérhetőségüket, valamint válaszidejüket. A végponti adminisztrátor csak az azonosítójához rendelt saját végpontjának méréseit érheti el. 1.2.2.3

Lockolt eszközök, felhasználók megtekintése

A szolgáltatók számára biztosít felületet, hogy a zárolt felhasználókat, illetve eszközöket figyelemmel kísérhessék.

NETvisor Zrt.

23


v1.0

A végponti adminisztrátorok csak a saját zárolt eszközöket láthatják. 1.2.2.4

Intézmény adatok

Az egyes intézmények főbb hálózati adatainak megtekintése.

1.2.3 Változtatások 1.2.3.1

Végponti tűzfal konfigurálása

Az indításkor az alkalmazás a nyilvántartásból felhozza a végponti tűzfal tárolt beállításait, majd zárolja a tűzfalat, nehogy párhuzamosan többen próbálják módosítani. A zárolás felszabadul az új konfiguráció sikeres letöltésekor. Szintén felszabadul a zárolás, ha 10 percig nem történik módosítás a felületen, ez esetben viszont elvesznek az addig felvitt módosítás tervek. Ha az alkalmazás indításakor

NETvisor Zrt.

24


v1.0

figyelmeztető ablak jelenik meg, hogy a végponti tűzfalat más konfigurálja (ez lehet az ÜSZI vagy a Hálózat-felügyelet is), akkor 10 perc elteltével újra meg kell próbálni az alkalmazásba belépni. A Közháló kialakítása során minden egyes intézmény egy végponti hálózat kialakítására alkalmas szekrényt kapott, mely egy tűzfal funkcionalitással rendelkező Cisco routert és egy VLAN képes Cisco switch-et tartalmaz. A switch-en több VLAN került kialakításra a különféle igényeknek megfelelően, mely VLAN-ok között a tűzfal végez csomagtovábbítást. A tűzfal esetében az egyik szabálybázis, mégpedig az, amelyik az Internet felől a Publikus szegmensen elhelyezett szerverek felé irányuló forgalmat szabályozza, a végpont kérésére módosítható. Jelen tűzfal konfigurációs alkalmazás ezen szabálybázis módosítását teszi lehetővé az intézményi rendszergazda számára. A többi szabálybázis (pl. Privát és Védett szegmensek forgalmára vonatkozó szabályok) továbbra sem változtatható meg az alapértelmezett állapotról sem jelen alkalmazás segítségével, sem az ÜSZI-n keresztül.

NETvisor Zrt.

25


v1.0

Az alkalmazás működése az alábbi fázisokra bontható: Alkalmazás indítása

Kezdeti szabályok kiolvasása Nyilvántartásból Hozzáadás, Törlés, Fel és Le mozgatás

“Alapállapot” gomb

Módosított szabályok megjelenítése “Végrehajt” gomb

Elkészült szabályok letöltéséhez megerősítés “Letöltés” gomb

“Újból” gomb (hiba esetén)

Router frissítés, siker esetén Nyilvántartás frissítés “Vissza” gomb

A konfigurálás során a folyamat bármikor megszakítható a böngésző bezárásával. Ilyekor sem a Nyilvántartásban, sem a routerben változás nem lesz. 1.2.3.1.1

Aktuális szabályok megtekintése

A szerkesztő lap tetején találhatók a végponti intézmény Nyilvántartásban szereplő adatai. Alatta látható az aktuális szabálybázis, amit az alábbi ábra is mutat.

A szabályok értelmezésekor az alábbiakat kell figyelembe venni.

NETvisor Zrt.

26




A tűzfal működésekor a szabályok mindig felülről lefelé haladó sorrendben kerülnek kiértékelésre. Az első tiltó vagy engedélyező szabály, ami ráillik a csomagra, érvényesülni fog, a további szabályok nem kerülnek feldolgozásra.



Az ábra nem jeleníti meg a módosítható szabályok előtti fix szabályokat (mint pl. RFC1918 privát forrás címek kiszűrése, IP Spoofing védelem, tiltott portok kiszűrése). Szintén nem látszanak a szabálybázist lezáró fix szabályok (ICMP üzenetek engedélyezése).



Ha valamilyen csomagra egyik szabály sem illik rá, akkor automatikusan a tiltás érvényesül.



Ha nincsen egy nyitott port sem a végponti tűzfalon, akkor a szabálybázis egy sort sem tartalmaz, vagyis minden bejövő kapcsolat tiltott.

v1.0

A megjelenítés és a beállítás során is a Cisco által bevezetett Wildcard Mask formátumot használjuk (a hagyományos maszk bitjeinek invertálásával állítható elő, lásd a táblázatot később). Az egész oldal (a megjelenítés és a beállítás is) 5 oszlopra bontható, melyek jelentése: 1. oszlop: Prorokoll 

IP: minden forgalom a kérdéses címek között



TCP/UDP: meghatározott TCP és UDP portok forgalma



GRP, ESP, AHP: egyéb IP feletti protokollok, tipikusan VPN-hez

2. oszlop: Forrás cím 

any: bármely IP cím (teljes Internet)



host: egy bizonyos hoszt felől



IP cím / maszk: valamely címtartomány felől

3. oszlop: Forrás port 

Nem TCP és nem UDP protokollok esetében nincs értelmezve (üres)



Ha TCP és UDP prokollok esetében üres: minden port



Egy számmal megadva: egy bizonyos port



Szám1 – Szám2 formátum: port tartomány, beleértve Szám1 és Szám2 portokat is

4. oszlop: Cél cím 

any: mindegyik végponti szerver



host: egy bizonyos végponti szerver



IP cím / maszk: a cím-maszk páros által lefedett végponti szerverek

5. oszlop: Cél port 

Értelmezése mint Forrás port esetében

1.2.3.1.2 Szabályok sorrendjének módosítása

A soroktól jobbra található jelölő segítségével kiválasztva egy szabály sort, majd a „Fel” vagy „Le” gombokra kattintva a kiválasztott szabály sor eggyel lejjebb vagy feljebb mozgatható a listában. A sorrendnek azonos típusú (pl. csak engedélyező) szabályok esetében természetesen nincsen jelentősége. Elsősorban tiltó és engedélyező szabályok együttes használatakor kell a sorrendet pontosan beállítani. 1.2.3.1.3 Új szabály felvétele

A tűzfal működésével kapcsolatban megjegyeznénk, hogy a Cisco IOS routerben található tűzfal állapottárolós (Stateful Inspection) elven működik. Vagyis a belülről kifelé kezdeményezett kapcsolatokhoz tartozó válaszcsomagokat a kapcsolat idejére automatikusan beengedi. Emiatt ha például csak böngészés folyik, akkor nem kell megnyitni a 80-as TCP portot befelé. Vagy ha az

NETvisor Zrt.

27


v1.0

intézményi szervereket NTP-vel szinkronizáljuk Internetes időforráshoz, akkor sem kell a 123-as UDP portot megnyitni. Port nyitást csak akkor kell végezni, ha az intézmény valamilyen szerver szolgáltatást szeretne felajánlani az Internet közösségnek (pl. web szerver, levelező szerver).

Az „Engedélyező szabályok hozzáadása” szekcióban lehet a port nyitásokat beállítani. A szekció két részre osztható. Az első rész segítségével lehet általános port nyitást felvenni (valamely port nyitása a teljes Internet felől). A második részt akkor érdemes használni, ha csak bizonyos IP címek felől szeretnénk egy portot megnyitni. Az általános port nyitásnál megadható opciók: 

Protokoll: jelenleg TCP és UDP választható ki



Cél cím: az intézményhez rendelt publikus címtartományból lehet egy címet kiválasztani



Cél portok: a megnyitandó szerver port, vagy portok listája.

Az alábbi formátumok használhatók: 

Egy szám: egy bizonyos port megnyitása



Szám – Szám formátum: port tartomány, vagyis a két port és minden közte lévő port megnyitásra kerül (egy tűzfal sort eredményez)



Több szám vagy szám tartomány vesszővel, szóközzel elválasztva: mindegyik port megnyitásra kerül (tűzfal soronként egy-egy port vagy tartomány)



Ebbe a mezőbe írt minden egyéb karaktert (pl. egyéb elválasztó jelek, betűk, szavak pl. www, smtp) az alkalmazás további figyelmeztetés vagy hibajelzés nélkül figyelmen kívül hagy.

A speciális port nyitásnál megadható opciók: 

Protokoll: jelenleg TCP és UDP választható ki



Forrás cím / maszk: Annak a hosztnak, vagy hálózati tartománynak a megjelölése, ahonnan el szeretnék érni a megnyitandó portot. Hoszt esetében az első (0.0.0.0) wildcard maszkot kell használni, a teljes Internet felé történő nyitásnál az utolsó (255.255.255.255) wildcard maszk a megfelelő. Az IP cím mezőbe a hálózati címet (network address) kell beírni. Ha a cím-maszk páros nem konzisztens (pl. hoszt cím mellett C osztályú maszk), akkor az alkalmazás figyelmeztet.



Forrás port: A külső kliens által használt port. Általában nem szükséges megadni.

A lehetőségek: 

Üres vagy „any”: ne vizsgálja a kliens portot, bármelyik felől engedje be a kapcsolatot



Egy szám: csak arról a portról engedje be



Cél cím: az intézményhez rendelt publikus címtartományból lehet egy címet kiválasztani.



Cél port: a megnyitandó szerver port.

A megfelelően kitöltött mezők alatti „Hozzáadás” jelölő kiválasztása és a „Mehet” gomb megnyomása után megtörténik a paraméterek feldolgozása, és az új szabály (vagy szabályok) halvány zöld színnel megjelennek a fenti szabály listában. Továbblépés esetén a hibás szabályt figyelmen kívül hagyja az alkalmazás, és új szabályt lehet definiálni. Érdemes a felvett szabályokat ellenőrizni, mert néhány elgépelést nem tekint hibának a program, nem figyelmeztet miatta, de nem is vesz fel szabályt (pl. idegen karakterek a célport mezőben).

NETvisor Zrt.

28


v1.0

1.2.3.1.4 Szabály törlése

Szabály törlése esetén ugyanúgy meg kell adni a törlendő szabály paramétereit, majd a végén a „Hozzáadás” helyett a „Törlés” gombot kell kiválasztani. Ha egy már definiált szabály nem írható le az általános vagy speciális port nyitási paraméterekkel (pl. GRE vagy ESP protokollra vonatkozik, vagy a cél címek maszkkal lettek definiálva), akkor az nem is törölhető a felületről, továbbra is ÜSZI-t kell kérni a törlésre. 1.2.3.1.5 Tiltó szabályok használata

A tűzfal konfiguráló alkalmazás a port nyitásokon túl lehetőséget ad tiltó szabályok létrehozására is. Mivel alapértelmezésben minden port tiltva van, tiltó szabályokat csak akkor szükséges létrehozni, ha már van port nyitás, és 

szerverünk valamely portját szeretnénk védeni egy meghatározott cím felől (pl. 25-ös portot letiltani egy SMTP DoS támadást végző hoszt felől, vagy



a szerverünket teljesen szeretnénk elrejteni egy távoli cím felől (pl. port scan és egyéb DoS támadás elől).

A tiltó szabályok szekciója az engedélyezések alatt látható.

Ez is két részre osztható: az első részben az általános tiltások, a második részben a port specifikus tiltások hozhatók létre. Általános tiltás esetén a megadható paraméterek: 

Forrás cím és maszk: Annak a hosztnak vagy címtartománynak a definíciója, aki felől a szolgáltatást tiltani szeretnénk.



Cél cím: azon intézményi szerver címe, melyet el szeretnénk rejteni. Ha az „any” kerül kiválasztásra, akkor egyik szerverünk sem lesz elérhető a kérdéses forrás címek felől.

Port specifikus tiltás esetén a megadható paraméterek: 

Protokoll: tcp vagy udp



Forrás cím és maszk: Annak a hosztnak vagy címtartománynak a definíciója, aki felől a szolgáltatást tiltani szeretnénk.



Forrás port: a kliens oldali port adható meg.

Lehetséges formátumok: 

Üres vagy „any”: ne vizsgálja a kliens portot, bármelyik felől tiltsa a kapcsolatot



Egy szám: csak arról a portról tiltson



Cél cím: azon intézményi szerver címe, melyet el szeretnénk rejteni. Ha az „any” kerül kiválasztásra, akkor egyik szerverünk sem lesz elérhető a kérdéses forrás címek felől.



Cél port: a szerverünk portja, melyet el szeretnénk rejteni.

NETvisor Zrt.

29


v1.0

A „Hozzáadás” kiválasztása majd „Mehet” gombra kattintás után a tiltás halvány piros szabály formájában megjelenik a listában. Felhívnánk a figyelmet arra, hogy míg az új engedélyezés mindig a lista végére kerül, az új tiltások mindig a lista elejére kerülnek. Utána természetesen a tiltások is mozgathatók fel vagy le. 1.2.3.1.6 Elkészült szabálybázis aktiválása

Amennyiben a szabálybázis elkészült, a „Végrehajtás” gombra kell kattintani a továbblépéshez. Az alkalmazás még egyszer megjeleníti a beállított szabályokat, és megerősítést vár az aktiválásra. A „Letöltés” gombra kattintva elindul a letöltés a routerbe. Az oldalon nyomon lehet követni a letöltés állapotát, valamint az esetleges hibaüzenetek is itt jelennek meg. Ha a letöltés sikeres, akkor mind a routerben, mind a Nyilvántartásban az új szabályok lépnek életbe. Tipikus hiba lehet, hogy a túlterhelt végponti vonalon keresztül a magas válaszidők miatt nem lehetséges a router biztonságos elérése, ez esetben a letöltéseket szüneteltetni kell a frissítés idejére. Ha a hiba folyamatosan fennáll, akkor azt mihamarabb jelenteni kell az ÜSZI felé hibabejelentés (és nem port nyitási kérés) formájában. A felület használatát a hiba elhárításáig célszerű felfüggeszteni. A Hálózat-felügyelet a napló állományokból meg tudja állapítani a tervezett módosításokat, ellenőrizni tudja a router és a Nyilvántartás állapotát, valamint újra hibamentes állapotba tudja hozni a rendszert. Sikeres letöltés után a „Vissza” gomb megnyomásával a Közháló Infoportál nyitó oldalára kerülünk vissza. Vigyázat: az alkalmazás (és a teljes Közháló Infoportál) Basic HTTP Azonosítást használ. Kilépés funkcióra nincsen lehetőség, mert az oldal megnyitásakor kért jelszót a böngésző megjegyzi. Ha a konfigurálás befejeződött, az összes böngésző ablakot be kell zárni, hogy a számítógépet használva más illetéktelen ne férjen hozzá rendszergazda nevében az Infoportál felületéhez. 1.2.3.1.7 Korlátozások

A tűzfal konfiguráló alkalmazás a tapasztalati igények figyelembe vételével készült. Célja, hogy a Közháló kapcsán felmerült port nyitási feladatok nagy részének megoldási lehetőségét az intézményi rendszergazda kezébe adja, csökkentve az ÜSZI és a Hálózat-felügyelet terhelését. Az általános port nyitások mellett azonban elképzelhetők speciális tűzfal beállítások, melyek a felületen nem valósíthatóak meg. Ilyen beállításokat továbbra is az ÜSZI-n keresztül kell kérni. A tűzfal konfiguráló alkalmazás az alábbi korlátozásokat tartalmazza: 

A szabályok elején található, csak hálózat-felügyelet által módosítható sorokat (pl. Open Relay miatti tiltás) megváltoztatni, vagy eléjük újabb szabályokat felvenni nem lehet.



A létrehozott tűzfal szabálybázis legfeljebb 45 sort tartalmazhat.



Port tartományok megadhatóak, de azok soronként legfeljebb 1000 portot foghatnak át.



IP címre minden forgalmat, vagy minden TCP vagy UDP portot megnyitni nem lehet.



A tiltott portokat (lásd később) nem engedi megnyitni. (Ezt ÜSZI-től sem lehet kérni.)



Csak TCP és UDP protokollokat kezel. Az egyéb protokollokat – tipikusan a VPN kapcsolatokhoz szükséges GRE, ESP és AH protokollokat – megjeleníti, de sem törlésüket, sem újbóli létrehozásukat nem támogatja.



ICMP protokollt nem kezel (a fontosabb ICMP típusokat alapból átengedi a tűzfal, nem szükséges külön engedélyezni)



Pár intézménynél (tipikusan ahol minden szerverre kértek többszörös port nyitást) a szabályok egyszerűsítése érdekében egy sorban több szerverre vonatkozó szabály lett megadva (ez a 0.0.0.7 maszkról ismerhető fel a cél cím oszlopban). Ezeket a sorokat a felületről törölni vagy módosítani nem lehet. Javasoljuk a szabályok

NETvisor Zrt.

30


v1.0

újbóli átgondolását, felvételét az egyes szerverekre külön-külön, és utolsó lépésben az ÜSZI-től kérni a több szervert átfogó sorok törlését.

1.2.3.1.8 Tiltott portok listája

Az alábbi táblázat az épen aktuális tiltó listát tartalmazza. TCP UDP Port Port funkció TCP UDP 7 echo TCP UDP 9 discard TCP UDP 12 daytime TCP UDP 19 chargen TCP UDP 23 telnet UDP 69 tftp TCP UDP 111 sunrpc UDP 161 snmp TCP 135 dcom-rpc UDP 137 netbios-ns TCP UDP 138 netbios-dgm TCP 139 netbios-ssn TCP UDP 369 rpc TCP 445 smb-over-tcp TCP 512 rexec TCP 513 rlogin TCP UDP 515 printer TCP 593 http-rpc-epmap TCP UDP 631 ipp TCP 901 Samba WEB Admin TCP 1080 Socks TCP 1433-1434 Microsoft SQL Monitor TCP 3127-3128 http proxy (squid) TCP 3389 Remote Desktop TCP 4444 TCP 4899 Radmin TCP 5000 MS Universal Plug-and-Play TCP 6129 TCP 6000-6063 Xlogin TCP 6588 http proxy (analogx) TCP 6660-6670 Irc TCP 6777 TCP 8000-8001 http proxy TCP 8080 http proxy TCP 8888 http proxy TCP 9898 TCP 10080 TCP 12345 TCP 17300 TCP 20168 TCP 27374

NETvisor Zrt.

Backdoor

Megjegyzés

csak befelé

Blaster worm

MyDoom SQLSlammer MyDoom csak befelé Blaster worm

DamWare csak befelé csak befelé Bagle csak befelé csak befelé csak befelé Backdoor.CrashCool MyDoom NetBus Kuang2 Lovgate.C SubSeven

31


v1.0

Az itt felsorolt portok tiltása a végpontok valamint a teljes Közháló rendszer integritásának védelmét szolgálják a vírusok és illetéktelen rendszer-használók vagy behatolók ellen. Mivel ezen portok már a Közháló Internet bejáratánál is ki lettek szűrve, megnyitásuknak amúgy sem lenne értelme. Sem az alkalmazás, sem az ÜSZI segítségével ilyen portok nyitását kérni nem lehet. A „csak befelé” megjelölés azt jelenti, hogy ezen a porton a végpont szervert nem üzemeltethet, de ha valamely külső szerver ilyen porton figyel, akkor azt a Közháló végpontról még el lehet érni.

1.2.3.2

Felhasználó módosítása

Hálózat-felügyeleti adminisztrátorként belépve, minden végpont összes felhasználójának adata elérhető, ezért a könnyebb megtalálás érdekében egy kereső funkció jelenik meg. Itt lehetőségünk nyílik a felhasználó login neve, illetve a felhasználó neve alapján keresni. A kereső kis és nagybetűre érzékeny illetve részleges keresésre a * karakter használatával alkalmas (pl. K07660* beírásával listázza az összes K007660-as végponthoz tartozó felhasználót). Végponti adminisztrátorként bejelentkezve az alábbi ablak nem jelenik meg, mivel az itt kezelt felhasználók mennyisége nem teszi szükségessé kereső alkalmazását. A megjelenő felhasználó(k) közül egyet jelölhetünk ki a felhasználói login név mellett található „radio” gomb segítségével. Ezután a portál megjeleníti a felhasználó aktuális paramétereit, amelyek áttekintése után a módosítás gombra kattintva lehetőségünk nyílik azok megváltoztatására.

A felhasználó módosításán belül a következő lehetőségek érhetők el: 

Login névhez tartozó jelszó módosítása:



A jelszó hossza és tartalma tetszőlegesen kialakítható, de a kis és nagybetűk között a rendszer különbséget tesz.



Felhasználó név megváltoztatása



Felhasználó kiléptetése minden munkaállomásról



Felhasználó törlése



A felhasználói login itt szüntethető meg.



Felhasználó zárolásának megszüntetése (mellette található indoklás alapján könnyebben eldönthető, hogy a zárolás megszüntethető vagy sem.)



VLAN szegmens átállítása:



A felhasználók bejelentkezésük után különböző VLAN szegmensekbe kerülnek annak megfelelően, hogy milyen biztonsági szintre van szükségük a munkájuk során.



Jogosultságok kezelése

NETvisor Zrt.

32


v1.0

A végponti adminisztrátorok az általuk létrehozott felhasználókon minden előzőekben említett módosítást el tudnak végezni, de saját login nevükön felhasználó zárolását illetve felhasználó törlését és jogosultságok módosítását nem kezdeményezhetnek, ehhez a Hálózat-felügyelet segítségét kell kérniük.

1.2.3.3

Felhasználó Hozzáadása

Adminisztrátori hozzáféréssel a képen látható módon hozhatunk létre új felhasználót,

NETvisor Zrt.

33


v1.0

Végponti adminisztrátorként csak a „Intézményünkre” illetve csak saját szervezethez tartozó jogosultságok oszthatók ki.

1.2.3.4

Eszköz adatok

Adminisztrátorként lehetőségünk van KH kód, intézmény és IP cím szerinti keresésre. Végponti adminisztrátorként csak a saját végpontunk eszközeiről kaphatunk információt. A számunkra szükséges végpontot „radio” gomb segítségével kiválasztva először az eszköz paramétereiről kapunk információt, majd a módosítások gombra kattintva a képen látható tulajdonságokat módosíthatjuk.

NETvisor Zrt.

34


1.2.3.5

v1.0

Router adatok

Adminisztrátorként KH kód alapján kereshetünk a végpontok között.

NETvisor Zrt.

35


1.2.3.6

v1.0

Switch adatok

Adminisztrátorként a szokásos keresési lehetőség jelenik meg, amely segítségével KH kód alapján lehet a végpontok között keresni, végponti adminisztrátorként csak a saját switch adatok jelennek meg. Mind a két esetben lehetőségünk van a switch portok paramétereinek módosítására. A switch portokat a következő szegmensekre állíthatjuk: 

Dinamikus (felhasználói loginnak beállított VLAN szegmensből kap IP címet)



FIX: csak internet vendég szegmens (felhasználói logintől függetlenül csak a VLAN13-as internet (vendég) szegmensből kaphat IP címet)



FIX: publikus szegmens (felhasználói logintől függetlenül csak a VLAN14-es publikus szegmensből kaphat IP címet)



FIX: normál biztonsági szegmens (felhasználói logintől függetlenül csak a VLAN11-es normál szegmensből kaphat IP címet)



FIX: fokozott biztonsági szegmens (felhasználói logintől függetlenül csak a VLAN12-es fokozott biztonsági szegmensből kaphat IP címet)

NETvisor Zrt.

36


NETvisor Zrt.

v1.0

37

KözHáló Önkormányzati Biztonsági Központ. Felhasználói leírás. 1.0 verzió. Budapest, devember 28. A dokumentumot késztette a NETvisor Zrt

Recommend Documents