Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačních technologií
Student
: Michal Hendrich
Vedoucí bakalářské práce
: RNDr. Radomír Palovský, CSc.
Oponent bakalářské práce
: PhDr. Otakar Pinkas
TÉMA BAKALÁŘSKÉ PRÁCE
Nastavení a zabezpečení firemní bezdrátové sítě
1
Zadání bakalářské práce Autor práce: Studijní program: Program:
Michal Hendrich Aplikovaná informatika Informatika
Název tématu:
Nastavení a zabezpečení firemní bezdrátové sítě Rozsah práce:
52
Zásady pro zpracování: 1. Prostudovat technologii tvorby bezdrátových sítí. 2. Vytvořit návrh a způsob zabezpečení včetně procesního fungování sítě. 3. Vyzkoušení modelu víceúrovňového zabezpečení ve firemní síti. Seznam odborné literatury: 1. Dostálek L a Kabelová A.: Velký průvodce protokoly TCP/IP a systémem DNS; Computer Press Brno 2008, ISBN 978-80-251-2236-5 2. Rodryčová D a Staša P.: Bezpečnost informací jako podmínka prosperity firmy; Grada publishing 2000, ISBN 80-7169-144-5 3. Northcutt S.: Bezpečnost počítačových sítí; Computer Press Brno 2005, ISBN 80-251-0697-7 4. Bigelow S.: Mistrovství v počítačových sítích; Computer Press Brno 2004, ISBN 80-2510178-9 5. Chapman D. and Zwicky E.: Principy budování a udržování FIREWALLY; Computer Press Brno 2007, ISBN 80-7226-051-0 6. Zandl P.: Wi-Fi praktický průvodce; Computer Press Brno 2003, ISBN 80-7226-632-2 Datum zadání bakalářské práce:
září 2009
Termín odevzdání bakalářské práce:
prosinec 2010
Michal Hendrich Řešitel
RNDr. Radomír Palovský, CSc Vedoucí práce
Ing. Vilém Sklenák, CSc Vedoucí ústavu
prof. Ing. Jan Seger, CSs Děkan FIS VŠE
2
Rok: 2010
Prohlášení
Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a že jsem uvedl všechny použité prameny a literaturu, ze kterých jsem čerpal.
V Praze dne 8. 12. 2010
...................................................... podpis
3
Poděkování Děkuji panu RNDr. Radomíru Palovskému, CSc za vedení práce, odbornou pomoc a poskytnutí cenných rad při zpracování tohoto tématu. Dále bych chtěl poděkovat svým přátelům, studentům informatiky, za praktické rady týkajících se počítačových sítí, jejich připomínky a komentáře. A velké díky především rodičům a přátelům za jejich nezměrnou podporu a důvěru během mého studia.
4
Abstrakt – česky Tato práce pojednává o zabezpečení bezdrátové sítě v praxi. A to o zabezpečení na úrovni přístupových bodů, zabezpečení na aplikační vrstvě, zabezpečení datového uložiště a nakonec zabezpečení proti vlivům okolním sítím a internetu. Součástí je praktická část, kde je popsána reálná instalace RADIUS serveru. Tento RADIUS server je následně propojen s enterprise Wi-Fi řešením, které se nazývá UniFi. V poslední řadě je vytvořen HTTP proxy, který využívá uživatelské účty vytvořené na RADIUS serveru. Na HTTP proxy jsou nadefinována přístupová práva, a tím je docíleno rozdílných přístupů do okolních sítí pro různé uživatele nebo uživatelské skupiny.
Abstract – english The work discusses wireless security in practice. And the security at access points, application-layer security, security data storage and protection against weather finally surrounding networks and the Internet. Part of the practical part, which describes the real install a RADIUS server. The RADIUS server is then connected to the enterprise Wi-Fi solution, which is called UniFi. Finally, it created an HTTP proxy that uses the user accounts created on the RADIUS server. The HTTP proxy access rights are defined, and this is achieved by different approaches to neighboring networks for different users or user groups.
5
Obsah Prohlášení ................................................................................................................................................ 3 Poděkování .............................................................................................................................................. 4 Abstrakt – česky ...................................................................................................................................... 5 Abstract – english .................................................................................................................................... 5 Obsah ....................................................................................................................................................... 6 1.
Nastavení a zabezpečení firemní bezdrátové sítě ........................................................................... 8
2.
Druhy zabezpečení bezdrátových sítí ........................................................................................... 10
3.
2.1.
WEP (Wired Eguivalent Privacy) ......................................................................................... 10
2.2.
Autentizace – procedura přístupu do sítě .............................................................................. 11
2.2.1.
Open systém autentizace ............................................................................................... 11
2.2.2.
Shared key autentizace .................................................................................................. 12
2.3.
Test prolomení WEP klíče..................................................................................................... 13
2.4.
802.11i – nový bezpečnostní standard................................................................................... 13
2.4.1.
TKIP (Tempotary Key Integrity Protocol) .................................................................... 13
2.4.2.
CCMP (Cipher Block Chaining Message Autjentication Code Protocol) ..................... 14
2.5.
WPA (WPA2) Autentizace PSK (pre-Share key) ................................................................. 14
2.6.
WPA (WPA2) Autentizace EAP (Extensible Authentication Protocol) ............................... 14
2.6.1.
Typy ověřování .............................................................................................................. 15
2.6.2.
Ověřovací protokoly ...................................................................................................... 16
2.7.
Zpráva z médií: „Prolomení WPA za 17 dolarů“ .................................................................. 17
2.8.
WPA2 (Wi-Fi Protected Access verze 2) .............................................................................. 17
2.9.
MAC filter ............................................................................................................................. 17
Externí ověřovací systém .............................................................................................................. 18 3.1.
RADIUS ................................................................................................................................ 18
3.2.
RADIUS server možnosti ...................................................................................................... 19
3.2.1.
Microsoft Windows Server............................................................................................ 19
3.2.2.
Komerční produkty (stand alone aplikace) .................................................................... 19
3.2.3.
Open source aplikace ..................................................................................................... 21
6
4.
Zabezpečení uvnitř sítě ................................................................................................................. 21
5.
Zabezpečení uložiště dat ............................................................................................................... 22
6.
Firewall ......................................................................................................................................... 23 6.1.
Paketový filtr ......................................................................................................................... 23
6.1.1.
Standardní filtry ............................................................................................................. 24
6.1.2.
Rozšířené filtry .............................................................................................................. 24
6.1.3.
Dynamické filtry............................................................................................................ 24
6.1.4.
Reflexní filtry ................................................................................................................ 24
6.2.
Stavový firewall .................................................................................................................... 25
6.3.
Aplikační proxy ..................................................................................................................... 25
6.3.1.
Komerční aplikace HTTP proxy ................................................................................... 27
6.3.2.
Nekomerční aplikace HTTP proxy ................................................................................ 28
7.
Instalace služby IAS (Internet Authentication Service)................................................................ 28
8.
Nastavení bezdrátových zařízení .................................................................................................. 36 8.1.
Instalace managementu UniFI Controller.............................................................................. 37
8.1.1.
Systémové požadavky ................................................................................................... 37
8.2.
Konfigurace podnikové sítě pomocí UniFi ........................................................................... 38
8.3.
Nastavení sítě v UniFi Controlleru ........................................................................................ 40
8.3.1.
Settings > System .......................................................................................................... 40
8.3.2.
Settings > Wireless Networks ....................................................................................... 40
8.3.3.
Settings > Guest Control ............................................................................................... 42
Nastavení HTTP proxy ................................................................................................................. 43
9.
9.1.
CCPROXY – základní funkce ............................................................................................... 43
9.2.
Nastavení uživatelů a skupin uživatelů ................................................................................. 43
9.3.
Web filter............................................................................................................................... 45
10.
Závěr.......................................................................................................................................... 46
11.
Použitá literatura........................................................................................................................ 48
12.
Seznam obrázků ........................................................................................................................ 51
13.
Seznam tabulek.......................................................................................................................... 52
7
1. Nastavení a zabezpečení firemní bezdrátové sítě Dnes se s bezdrátovými sítěmi setkáváme běžně a dělíme je na volně přístupné a zabezpečené. Volně přístupné jsou označovány jako free hotspoty (např.: informační služba města) a zabezpečení není vyžadováno. Kdežto sítě, které nejsou volně k dispozici, ale jen pro uživatele, kteří mají právo do dané sítě přistupovat. Řešení se nabízí mnoho a já jsem popsal výčet možných řešení a okomentoval, kde se dá či nedá využít, vycházel jsem především z praxe. Za cíl jsem si dal nejen popsat různé možnosti zabezpečení, ale také reálně nakonfigurovat celkové zabezpečení sítě, které se využije pro firemní prostředí. Ale nejdříve jsem celkovou síť rozdělil na různé druhy odvětví, kde je vyžadováno zabezpečení. Tyto odvětví jsou znázorněny na Obrázku 1. Prvním odvětvím je zabezpečení bezdrátové sítě až na úroveň přístupového bodu, druhým je zabezpečení na aplikační vrstvě, třetím je zabezpečení datového uložiště dat a posledním čtvrtým je zabezpečení proti vlivům okolních sítí a internetu. Všechny tyto oblasti jsem určil na základě praxe a ve většině případů se jedná o rozdělení ve firemní síti. Důvodem, proč tyto oblasti chci řešit je ten, že většina správců sítě se na firemní síť nekouká ze všech hledisek, jak jsem vytyčil, ale jen na nějaké a ostatní jsou opomíjeny. Co se týče praktické části, tak za prvé chci nainstalovat a nakonfigurovat RADIUS 1 server, který ověřuje jednotlivé uživatele v síti jménem a heslem. Toto budu předvádět na stávajícím serveru Microsoft Windows Server 2003, protože server není zcela využit a jsou na něm vytvořeny uživatelské účty jednotlivých zaměstnanců. Na tomto serveru doinstaluji službu IAS2, kterou podporuje stávající Windows Server 2003 a následně nakonfiguruji ověřovací službu RADIUS. Tento RADIUS server potřebuji propojit s bezdrátovými prvky, které se umístí ve firmě do různých místností a tak pokryjí celý podnik. Využiji řešení UniFi Enterprise od společnosti Ubiquity, která využije nainstalovaný a nakonfigurovaný RADIUS server, protože dbám na jednoduchost prvotního nastavení a zároveň na jednoduché rozšíření o konfiguraci budoucích bezdrátových prvků, které se mohou přidat do sítě. V poslední řadě ukážu konfiguraci HTTP proxy serveru, pro který se využijí uživatelské účty zaměstnanců firmy. A kladu si za cíl na HTTP proxy serveru nadefinovat jednotlivá přístupová práva pro všechny uživatele či hromadné skupiny uživatelů. Důvod je ten, že chci omezovat některé zaměstnance pro přístup mimo firemní síť na aplikační úrovni.
1
Remote Authentication Dial In User Service je protokol používaný pro přístup k síti [1]. Internet Authentication Service je implementace od Microsoftu, která provádí vzdálenou autentizaci a autorizaci uživatelů [2]. 2
8
Obrázek 1: Schéma bezdrátové podnikové sítě
Schéma na obrázku 1, jsem vytvořil na základě praxe, kterou mám. Všechna tato odvětví jsou téměř v každé střední a velké firmě a je potřeba žádné neopomíjet. Červeně označený obdélník znázorňuje zabezpečení bezdrátové sítě mezi přístupovými body (zprostředkovávají bezdrátový přenos) a uživateli. Toto zabezpečení budu řešit pomocí UniFi Enterprise3. Žlutě označený prostor znázorňuje zabezpečení uvnitř sítě. Připojení uživatelé v síti se sice musí nějakým způsobem připojit do sítě, ale potom je důležité i zabezpečení v dané síti. Je hodně případů, že uživatel hoden připojení do sítě zneužil malého či žádného zabezpečení uvnitř sítě jiného uživatele, který měl také právo k připojení k dané síti. Toto zabezpečení budu řešit za prvé šifrováním komunikace s RADIUS serverem pomocí MS-CHAPv24 a za druhé bezpečnost odesílaných dat na aplikační úrovni a to šifrovanými protokoly (např.: HTTPS5). Modrý prostor nám znázorňuje zabezpečení uložiště dat (soubory, dokumenty), který ve firemním prostředí je taky velmi důležitý. K datům by měl mít přístup pouze jeho vlastník nebo skupina vlastníků. Zase se využijí uživatelské účty zaměstnanců pro přístup do jednotlivých složek na datovém uložišti. Toto uložiště je potřeba také šifrovat resp. přístup na toto uložiště.
3
UniFi Enteprise je bezdrátové řešení od americké společnosti Ubiquity [3]. MS-CHAPv2 protokol od společnosti Microsoft [4]. 5 HyperText Transfer Protocol Secure je zabezpečená verze původního HTTP [5]. 4
9
Zelený prostor nám znázorňuje zabezpečení sítě a vlivu internetu či práva přístupu jednotlivých uživatelů k službám, které jsou mimo danou síť a to v internetu. Zde na aplikační vrstvě se budu snažit vytvořit práva jednotlivých uživatelů k přístupu do okolních sítí či internetu.
2. Druhy zabezpečení bezdrátových sítí Touto kapitolou si přiblížíme různé druhy zabezpečení bezdrátových sítí, které běžně podporují nejrůznější bezdrátová zařízení. Toto odvětví zabezpečení je znázorněno na obrázku 1 červeným obdélníkem. Obrázek 2 ukazuje, různé možnosti zabezpečení jednoho z bezdrátových přístupových bodů sítě.
Obrázek 2: Výčet možností zabezpečení bezdrátové sítě
2.1.
WEP (Wired Eguivalent Privacy)
WEP (Wired Equivalent Privacy) je prvotním zabezpečením bezdrátových sítí (WI-FI) a je součástí standardu IEEE802.11 z roku 1999. WEP funguje na symetrickém principu, kdy se pro šifrování a dešifrování používá stejný algoritmus i totožný statický klíč. Nejčastější a nejslabší 40 bitový klíč pro ověření totožnosti (autentizaci), je stejný pro všechny uživatele dané sítě (sdílený klíč) a klienti jej využívají spolu se svou adresou MAC6 pro autentizaci vůči přístupovému bodu. Ve skutečnosti se tedy ověřuje totožnost síťové karty, nikoli samotného uživatele. Autentizace ve WEP pracuje pouze jednostranně, nikoli vzájemně. Šifrování přenášených dat se provádí 64 bitovým klíčem, který je složen z uživatelského klíče a dynamicky se měnícího vektoru IV (Initialization Vector) o délce 24 bitů. IV se posílá v otevřené formě a mění se s každým paketem, takže výsledná šifra je jedinečná pro každý jednotlivý paket. WEP používá šifrovací algoritmus RC47. V závislosti na výrobci může nabízet silnější zabezpečení ve formě 128 bitového šifrování (sdílený klíč má délku 104 bitů, vektor poté 24 bitů) a některá novější zařízení nabízejí ještě 152 bitové a 256 bitové šifrování, závisí na výrobci konkrétních bezdrátových zařízení. Vzniká zde problém, když zařízení na jedné straně je novější a je tam nastaveno silnější šifrování (např. 256 bitový), tak starší zařízení toto nepodporuje a tím pádem se nemůže připojit. 6
Media Access Control je jedinečný 48 bitový identifikátor sítových rozhraní. Šifra RC4 vytvořila společnost RSA, jedná se o identickou šifru, která se používá například v SSL (secure socket layer), které je základem např. protokolu HTTPS. 7
10
Tabulka 1: Délky klíčů ASCII a HEX
ASCII8 podoba
HEX9 podoba
WEP 64
5 znaků
10 hex číslic
WEP 128
13 znaků
26 hex číslic
WEP 152
16 znaků
32 hex číslic
WEP 256
29 znaků
58 hex číslic
WEP byl prolomen v roce 2000 a označen za velmi slabé zabezpečení bezdrátové sítě. Prolomení šifry trvá okolo 10 minut a to v závislosti na procesoru stroje, což je velmi málo a také závisí na síle hesla. WEP byl nahrazen lepším zabezpečením viz. další kapitoly, ale je dnes nepoužívanějším šifrováním na Wi-Fi.
2.2.
Autentizace – procedura přístupu do sítě
Další podstatnou součástí bezpečnosti je procedura přístupu do sítě neboli autentizace uživatele. Protože vzduch (prostor) nelze nějakým způsobem pevně uzavřít jako u drátových sítí, kde se uživatel musí připojit někde v budově, tak je potřeba autentizace uživatelů. 802.11 udává dvě metody pro autentizaci:
open system autentizace
shared key autentizace
Autentizace v 802.11 je vytvořena jako jednosměrná procedura. Stanice neboli uživatel si musí o autentizaci jednoduše sám zažádat, ale samotný přístupový bod se vůči uživatelům autentizovat nemusí. Pokud by někdo vytvořil stejný přístupový bod (název SSID10 a MAC adresu), tak nevíme, zda je to přístupový bod, ke kterému vážně chceme přistupovat a pokud se budeme chtít připojit, tak nás to připojí na přístupový bod, který má lepší signál. 2.2.1. Open systém autentizace Nelze úplně přesně říci, že se jedná o autentizaci. Přístupový bod, na který se chceme připojit, je identifikovaný na základě SSID a uživatel se po vyhledání tohoto bodu může připojit. Odešle své údaje a přístupový bod jej na základě toho příjme a umožní přístup do sítě. Doporučuje se vypínat SSID v případech, kdy nechceme o vysílání bezdrátového zařízení dát vědět. Pak není možné najít 8
ASCII je anglická zkratka pro American Standard Code for Information Interchange („americký standardní kód pro výměnu informací“). V podstatě jde o kódovou tabulku, která definuje znaky anglické abecedy, a jiné znaky používané v informatice. Jde o historicky nejúspěšnější znakovou sadu, z které vychází většina současných standardů pro kódování textu přinejmenším v euro-americké zóně [6]. 9 Šestnáctková soustava (též hexadecimální soustava) je číselná soustava základu 16. Znaky jsou „0-9“, „A-F“. 10 SSID (Service Ser Identifer) je jedinečný identifikátor bezdrátové sítě (Wi-Fi).
11
přístupový bod, který vysílá. Viditelné SSID necháváme pro uživatele, kteří se mají připojovat na přístupový bod např. firemní bezdrátová síť v zasedací místnosti. Vypnuté SSID se nechává u páteřních bezdrátových spojů, protože nechceme, aby někdo jiný se mohl pokoušet na ně připojovat. Každopádně neviditelnost SSID platí pouze u výchozích programů, které vyhledávají sítě např. u Microsoft Windows 7. A právě existují takové aplikace jako je např. NetStumbler, který umí vyhledat sítě bez SSID jen s MAC adresou. Na následujícím obrázku je vidět program NetStumbler při naskenování prostoru, kde jsou nejen naleznuté sítě s SSID, ale i bez jen s MAC adresou.
Síť bez SSID
Obrázek 3: Network Stumbler – skenování prostoru
2.2.2. Shared key autentizace Tento způsob autentizace je zase definován v 802.11 a je spojen s WEP klíčem. Uživatel, který přistupuje do sítě se sdílenou autentizací, tak pošle požadavek do bezdrátové sítě a ta vyžaduje sdílený klíč, který zašle uživatel do sítě a síť jej vyhodnotí. Pokud je sdílený klíč správný, zašle potvrzující odpověď a umožní přístup do sítě uživateli. Proces sdílení autentizace je znázorněn na následujícím obrázku.
Obrázek 4: Autentizace sdíleným klíčem (shared-key)
12
2.3.
Test prolomení WEP klíče
Říká se, že prolomení WEP klíče je velmi jednoduché a rychlé. Samozřejmě, že je vyvinuto několik aplikací, které danou sít za krátký čas rozšifrují. Já jsem to vyzkoušel s aplikací jménem Commview for WiFi, která analyzuje pakety „ve vzduchu“. Aplikaci se spustí a je potřeba se nejdříve podívat na podporované adaptéry, které používáme (např.: Intel 3945ABG). Po té analyzuju celý kanál, ve kterém vysílá síť, kterou chci rozluštit. Potřebuju zachytit minimálně 100 000 paketů, protože budu celkově analyzovat všechny pakety, kde je potřeba zjistit algoritmus, který se opakuje a z toho vydedukovat WEP klíč. Poté si uložím celý log soubor se zachycenými pakety. Pro analýzu log souboru potřebuju další nástroj. Nástroj jsem vybral jeden z nejznámějších a to je např. Aircrack11, který v log souboru nalezne klíč, který se snažím rozluštit.
Obrázek 5: Aircrack – GUI
Tento proces na WEP 64 zabral celkem 10 minut, což je akceptovatelné.
2.4.
802.11i – nový bezpečnostní standard
Nový bezpečnostní standard s označením 802.11i12, který byl schválen v červnu roku 2004 a opravuje všechny chyby původního zabezpečení v 802.11 WEP. Rozděluje se do dvou hlavních kategorií. 2.4.1. TKIP (Tempotary Key Integrity Protocol) Je to krátkodobé řešení, které řeší primárně všechny nedostatky původního WEP. TKIP13 je nový protokol pro šifrování dynamickým klíčem, který se mění každých 10 000 paketů. Důležitým faktorem je, že TKIP může být použito se starými zařízeními pracující s 802.11, stačilo jenom aktualizovat nový firmware. Standardně je používán 128 bitový klíč. Toto krátkodobé řešení dostalo pracovní název WPA (Wi-Fi Protected Access). U Microsoft Windows XP byla podpora WPA od počátku roku 2003. Tento standard nelze používat v podnikovém prostředí, protože toto zabezpečení je již prolomitelné.
11
Nástroj pro analýzu paketů [7]. 802.11i je nový a kompletní bezpečnostní standard [8]. 13 Tempotary Key Integrity Protokol krátkodobé řešení zabezpečení [9]. 12
13
2.4.2. CCMP (Cipher Block Chaining Message Autjentication Code Protocol) Nový protokol CCMP, který je vytvořen od základů a neopravuje žádné původní chyby. Používá AES14 (Advanced Encryption Standard) jako šifrovací algoritmus, a protože je náročný na procesor zařízení než původní RC4, tak jej lze použít akorát u nových zařízení. Toto nové řešení dostalo pracovní označení WPA2 (Wi-Fi Protected Access 2) a je to kompletní konečná implementace 802.11i. Tato kompletní implementace je zatím neprolomitelná a tudíž se dá využít pro podniková řešení.
2.5.
WPA (WPA2) Autentizace PSK (pre-Share key)
Pre-Share key znamená předsdílený klíč. Pokud nechci řešit ověřování pomocí přihlašovacích údajů (například ověřovacím serverem), tak vyberu WPA(2)-PSK, kde nastavím heslo. Doporučuje se nastavovat silné heslo, které se skládá z čísel, velkých, malých písmen či použít nějaké jiné znaky, protože programy, které mají obsáhlé slovníky a mohou hrubou silou heslo rozluštit. PSK neřeší identifikaci uživatelů do sítě, ale pouze připojení do sítě. Takže pokud někdo dostane heslo, tak se může do sítě připojit a nelze zjistit, o koho se jedná, což je velká nevýhoda např. při různých hackerských útokách.
Obrázek 6: Autentifikace PSK - jen klíč
2.6.
WPA (WPA2) Autentizace EAP (Extensible
Authentication Protocol) Nedá se říci, že se jedná o konkrétní typ autentizace, ale o rámec ověřování. EAP15 poskytuje společné funkce pro jednotlivé metody, kterých je asi čtyřicet jako například EAP-TLS16 (Transport Layer Security), EAP-MD517 (obsahuje hashovaní funkci), EAP-TTLS18 (Tunneled Transport Layer Security), EAP-SIM19 (Subcriber Identity Module), PEAP20 (Protected Extensible Authentication
14
AES je velmi silná šifra a nahradila zastaralou a prolomenou šifru DES (Data Encryption Standard). Využívá symetrického klíče, což znamená, že stejný klíč je použit pro šifrování i dešifrování. Délka klíče se může použít 128 bitů, 192 bitů i 256 bitů. Standard šifruje data postupně v blocích s pevnou délkou 128 bitů. Šifra je velmi rychlá, což je velmi pozitivní. V dnešní době není stoprocentně prokázáno, že by někdo zcela šifru rozluštil [10]. 15 Extensible Autjentication Protocol ověřovací protokol [11]. 16 EAP-TLS metoda EAP rozšířená o TLS [12]. 17 EAP-MD5 metoda EAP rozšířená o MD5 [13]. 18 EAP-TTLS metoda EAP rozšířená o TTLS [14]. 19 EAP-SIM metoda EAP rozšířená o SIM [15]. 20 Protected Extensible Authentication Protocol zvyšuje zabezpečení EAP [16].
14
Protocol) a mnoho dalších. Já se podrobněji podívám na EAP-TLS, EAP-TTLS, PEAP a LEAP21. Nicméně lze říci, že tyto autentizace slouží k ověřování uživatelů přistupujících do sítě pomocí ověřovacího serveru, na kterém jsou uloženy uživatelské jména a hesla. V podnikovém prostředí je tento typ zabezpečení nezbytný, protože ve firemním prostředí je mnoho dat, které musí být velice dobře zabezpečeny, a proto základní zabezpečení je nepoužitelné. 2.6.1. Typy ověřování
EAP-TLS (Transport Layer Security)
Metoda ověřování, která využívá protokol EAP a bezpečnostní protokol TLS. Metoda EAP-TLS používá certifikáty, které používají hesla. Ověřování EAP-TLS podporuje dynamickou správu klíčů WEP. Protokol TLS je určen pro zabezpečení a ověření komunikace ve veřejné síti prostřednictvím šifrování dat. Signalizační protokol TLS umožňuje serveru a klientovi, aby se vzájemně ověřili a dohodli algoritmus šifrování a kryptografické klíče ještě před přenášením dat.
EAP-TTLS (Tunneled Transport Layer Security)
Algoritmus pro ověřování je založen na použití certifikátů, které vzájemně ověří klienta se sítí tak, že uživatel si ověří, jestli síť je ta, do které chce přistupovat a zároveň si ověří, zda uživatel má právo na vstup do sítě. Tato verze byla základní implementací do Microsoft Windows 2000 a následně XP. Původní metodu rozšiřuje EAS-TTLS, která používá vše co je u TLS, ale pro navázání spojení s ověřovacím serverem se používá speciální tunel (z názvu „Tunneled“) pro druhé vnitřní ověření a používá k tomu speciální ověřovací protokol např. PAP, SPAP, CHAP.
PEAP (Protected Extesible Authentication Protocol)
Je to podobné jako u TTLS, zajišťuje TLS k vytvoření tunelu pro druhý ověřovací algoritmus a ten je typu EAP. Já tento typ ověřování využiji při konfiguraci RADIUS serveru. Důvod je takový, že PEAP je podporován na Windows Server 2003, dále je podporován zařízeními, které použiji v bezdrátové síti a celkově tento typ je označován za Enterprise.
Obrázek 7: Výběr EAP autentizace ze strany klienta
21
Light Extensible Authentication Protocol od firmy Cisco [17].
15
Obrázek 7 nám znázorňuje nastavení EAP na stanici, s kterou bychom chtěli přistupovat do sítě tzn. uživatele. Nastavíme si metodu EAP a potom uživatelské jméno a heslo, které se poté ověří na příslušném ověřovacím serveru.
LEAP (Light Extesible Authentication Protocol)
Verze protokolu EAP. Protokol LEAP je rozšiřitelný ověřovací protokol vyvinutý společností Cisco, který poskytuje ověřovací mechanismus založený na dotazu a odpovědi a dynamické přiřazování klíčů. 2.6.2. Ověřovací protokoly
PAP22 je autentizační protokol, který používá heslo. PAP je protokol pro ověřování uživatelů před povolením k přístupu k serveru. Téměř všechny síťové operační systémy podporují PAP. PAP přenáší nešifrované ASCII hesla po síti a díky tomu se téměř nepoužívá.
SPAP23 je jednoduchý PAP protokol, ale je šifrovaný. Ke komunikaci se používá obousměrný šifrovaný algoritmus mezi klientem a serverem.
CHAP24 je speciální autentizační protokol, který byl původně využíván pro autentizaci DialUp sítě. Dneska je v pokročilých verzích jako MS-CHAPv125 a MS-CHAPv2, který vytvořil a certifikoval Microsoft. Proces spočívá v tom, že ověřovací server odešle uživateli výzvu obsahující identifikátor relace a libovolný ověřovací řetězec. Po té uživatel odešle odpověď, která obsahuje uživatelské jméno, ověřovací řetězec druhé strany, jednosměrně přijatý ověřovací řetězec. Ověřovací řetězec druhé strany, identifikátor relace a heslo uživatele. Po té server ověří všechny údaje a umožní či neumožní přístup do sítě. Verze 2 není primárně na všech zařízeních podporována, jak ze strany uživatelů (operační systémy), tak na straně výrobců bezdrátových zařízení. Já budu využívat v nastavení MS-CHAPv2, protože je to nejlepší co se dá využít na Windows Server 2003 a také označováno za Enterprise.
Obrázek 8: Nastavení EAP autentizace z pohledu AP
Obrázek 8 nám znázorňuje nastavení přístupového bodu, ke kterému se připojují jednotliví uživatelé. Zde se nastavuje adresa ověřovacího serveru, port komunikace a klíč. 22
Password Autentication Protocol [18]. Shiva Password Autentication Protocol [19]. 24 Challenge – handshake Autentication Protocol [20]. 25 MS-CHAPv1 [21]. 23
16
2.7.
Zpráva z médií: „Prolomení WPA za 17 dolarů“
„Slashdot.org upozorňuje na novou službu, kterou nabízí Moxie Marlinspike. Za 17 dolarů můžete nechat čtyřsetprocesorový cluster, aby zkusil prolomit vaše WPA pomocí slovníku se 135 miliony frází vytvořených pro tento typ útoku. Na WPAcracker.com se píše: "Zatímco současnému 26
dvoujádrovému PC by tento úkol trval pět dní, náš cluster jej zvládne v průměru za dvacet minut.“
2.8.
WPA2 (Wi-Fi Protected Access verze 2)
WPA2 je kompletní implementací standardu 802.11i. Přidává k TKIP a algoritmu Michael27 nový algoritmus CCMP28 založený na AES. Pokud chce zařízení nosit logo Wi-Fi aliance musí WPA2 podporovat, je to od roku 2006. Zabezpečení na základě WPA2 se zatím nepodařilo prolomit, tudíž můžeme konstatovat, že je to velmi bezpečné a lze toto zabezpečení používat v prostředí, kde se klade na velkou bezpečnost přístupu do bezdrátové sítě a také bezpečnost toku dat v bezdrátové síti. Silné šifrovací algoritmy vyžadují výkonnější hardware. Já WPA2 budu používat v nastavení bezdrátové sítě, protože je to nejbezpečnější zabezpečení až na přístupový bod. Podpora výrobců:
Oficiální podpora WPA2 v Microsoft Windows XP vyšla 1. května 2005. Může vyžadovat aktualizaci ovladače síťového adaptéru.
Windows Vista mají podporu již zabudovanou v základním vydání.
Windows Mobile 5 umí WPA, Windows Mobile 6 a výš umí WPA2 standardně
Apple podporuje WPA2 na všech Macintoshích obsahujících AirPort Extreme, základnových stanicích AirPort Extreme, a AirPort Express. Potřebné aktualizace firmware jsou obsaženy v AirPort 4.2, vydaném 14. července 2005
V linuxových distribucích přišly aktualizace na podporu WPA2 nejrychleji ze všech operačních systémů, takže po aktualizaci systému či jen konkrétního balíčku byla podpora WPA2 zajištěna.
2.9.
MAC filter
Adresa MAC je pevnou fyzickou adresou každého síťového zařízení. Každé síťové zařízení by tedy mělo mít specifickou MAC adresu. Co se týče MAC filteru, tak mnoho zařízení tuto funkci umožňuje a princip spočívá v tom, že pro přístup do sítě povolím či zamítnu MAC adresu připojovaného 26
Portál Abclinuxu.cz, 8. 12. 2009 [22]. Algoritmus MICHAEL neguje MIC (Message Integrity Check) klíč, použitý na ochranu paketů, odeslaného z Access Pointu na klienta, pro zahájení výpočtu. 28 CCMP (Counter Mode with Cipher Block Chaining Message Authentication Protocol) je nová metoda, která je specifikovaná standardem IEEE 802.11i. CCMP poskytuje silnější metodu šifrování než protokol TKIP. Tato metoda se volí vždy, když je potřeba silná ochrana dat. 27
17
síťového zařízení. Bohužel nelze říci, že se jedná o zabezpečení, protože MAC adresa lze jednoduše změnit či odposlechnout na síti a následně použít k připojení.
Obrázek 9: Ukázka MAC listu
3. Externí ověřovací systém Velmi často se v začátcích práce vyskytují termíny, jako je autorizační nebo ověřovací systém. A touto kapitolou bych se chtěl věnovat těmto systémům. Ověřovací systémy, jsou vždy brány jako externí počítače na úrovních serverů, ale mohou to být i samostatné aktivní prvky např. routery, které mají tuto činnost na starosti. Zjednodušeně princip spočívá v tom, že v síti máme ověřovací server, bezdrátový přístupový bod a následně jednotlivé přistupující klienty. Přístupový bod je propojen se serverem, a pokud se uživatel chce připojit na přístupový bod respektive do bezdrátové sítě, tak je potřeba jej ověřit a přístupový bod je takový prostředník, který umožňuje bezdrátovou technologii na jedné straně a na druhé poskytuje ověřovacímu serveru ověřování uživatelů a následný přístup do sítě. Tyto ověřovací servery jsou nazývány Kerberos, RADIUS (Remote Authentication Dial In User Service) apod., ale já bude řešit RADIUS server, protože pro moje potřeby je dostačující a dostupný.
3.1.
RADIUS
Jedná se tedy o samostatnou službu (resp. server), která ověřuje přístup do sítě jednotlivých uživatelů. Následující obrázek znázorňuje proces RADIUS serveru:
Klient odešle počáteční zprávu na přístupový bod, který odpoví dotazem na totožnost, identitu uživatele zprávou EAP REQUEST-ID.
Uživatel odpoví zprávou EAP RESPONSE-ID, která obsahuje identifikační údaje uživatele. Přístupový bod přidá celou zprávu EAP RESPONSE-ID do paketu RADIUS ACCESS_REQUEST a vyšle ji autorizačnímu serveru RADIUS. Zprávy EAP jsou posílány mezi uživatelem a serverem RADIUS prostřednictvím přístupového bodu.
Server RADIUS odpoví zprávou obsahující umožnění/zakázání přístupu pro daného uživatele do sítě: RADIUS ACCESS_ACEPT/DENY, která v sobě obsahuje informaci EAP SUCCESS/FAILURE, kterou přístupový bod přepošle uživateli.
V případě povolení (SUCCESS) je přístupový port do sítě (přes něj autentizační komunikace probíhala) otevřen pro data daného uživatele, který na základě úspěšného výše popsaného
18
procesu považován za autentizovaného. Komunikace většinou probíhá na portech 1812 (1645) a 1813 (1646).
Obrázek 10: Autentizace pomocí externího serveru (RADIUS)
3.2.
RADIUS server možnosti
Pokud chci spustit RADIUS službu na svém serveru, tak potřebuju mít aplikaci, která tuto službu podporuje a spravuje. Možnosti jsou takové: 3.2.1. Microsoft Windows Server Microsoft má ve svých produktech operační systémy, které jsou určeny pro servery. Operační systém je označován jako „Server“ a číslo s verzí (2000, 2003, 2008). Z pohledu ověřovací služby RADIUS, je tato služba integrovaná přímo v systému. Stačí zakoupit verzi serveru a jednoduše povolit službu a následně nakonfigurovat. Cena se odvíjí od náročnosti na server (počet procesorů, paměť apod.) a od jednotlivé verze (standard, enterprise apod.). Pro představu Windows Server 2008 standard edition 15 00029 Kč za rok. 3.2.2. Komerční produkty (stand alone aplikace) Na trhu jsou i samotné „stand alone“ aplikace, které lze zakoupit a nahrát pod operační systém. Výhodou je, že nainstalujeme aplikaci a aplikace má velice příjemné uživatelské prostředí a snadno se konfiguruje. Nevýhodou je, že s aplikací musíme nainstalovat pod operační systém, za který ve většině případů musíme také zaplatit. Nejznámější aplikace jsou: Aradial – tento produkt je od společnosti Aradial Technologies a nabízí profesionální řešení v oblasti ověřovacích systémů. Společnost nabízí verzi Aradial HotSpot30, která je určena pro bezdrátové sítě na bázi Wi-Fi. Výhodou je, že aplikace je pro dvě různé platformy (Windows a Linux). Bohužel cenu na svých internetových stránkách neuvádějí a cena se odvíjí od velikosti a struktury samostatné sítě.
29 30
Zdroj od firmy MADER s.r.o [23]. Aradial technologies, inc. [24].
19
Obrázek 11: Aradial HotSpot rozhraní
TekRadius – tento produkt je velice pěkný z pohledu GUI, ale je zapotřebí mít externí databázi (SQL) pro různá data (uživatelé, přehledy o přístupových bodech apod). Pracuje jedině na platformě Windows, cože vyžaduje koupi operačního systému. Cena je 14931 USD za enterprise edici.
Obrázek 12: TekRadius GUI
Evolynx RADIUS server – stejně jako u předchozího produktu je zapotřebí mít externí databázi (SQL). Pracuje jedině na platformě Windows a je velice jednoduchý a přehledný. Cena je 19932 USD za plnou verzi, lze stáhnout a vyzkoušet 30 denní verzi, která nepodporuje všechny funkcionality.
Obrázek 13: Evolynx GUI
31 32
Ceny produktů TekRadius [25]. Ceny produktů Evolynx [26].
20
3.2.3. Open source aplikace Open source aplikací není mnoho vyvíjeno v tomto odvětví. Výhodou je, že aplikace se nemusí platit, což v malých firmách či školách je jeden z důležitých aspektů při zavádění ověřovacího systému. FreeRadius – je nejznámější, nejrozšířenější, volně šiřitelný a open source Radius server, který existuje. Pracuje na platformě Linux, což může být někdy problém, ale lze ušetřit náklady jak na samotný Radius, tak i na free platformu. Podporuje všechny možné protokoly a databázové systémy (SQL, LDAP, MySQL apod.). Je využíván pro celosvětové sítě např. Eduoram33. Eduoram je celosvětová akademická síť a využívá ověřovací systém FreeRadius.
Obrázek 14: Mapa Eduoramu
4. Zabezpečení uvnitř sítě Je důležité vědět, že zabezpečení, které jsem popsal v předchozích kapitolách je až na úroveň přístupového bodu. Za ním již bezpečnost nezajistí. Výjimka je u ověřovacích serverů, kde zabezpečeno pouze ověření až na RADIUS server, ale komunikaci na jiných portech nezabezpečuje. Takže uvnitř sítě už není zabezpečení a musí se ke komunikaci v síti využívat šifrovaných protokolů. Zabezpečení, o kterém se budu bavit, je na úrovni aplikací resp. na samotné aplikační vrstvě. Například HTTPS (HyperText Transfer Protocol Secure) je jeden z nejvyužívanějších protokolů pro komunikaci s webovým serverem. Protokol HTTP není nějak zabezpečený, takže přenáší data v textové podobě a takovéto data není problém přečíst při odposlechu. Proto byl vyvinut protokol HTTPS, který využívá ověření identity na zabezpečení komunikace mezi serverem a klientem. HTTPS používá při přenosu dat šifrování dle protokolu SSL (Secure Socket Layer) nebo TLS (Transport Layer Security) a tím zabezpečuje určitou ochranu před odposlechem komunikace a před útokem typu Man in the middle. Protokol HTTPS pro komunikaci používá port 443. Toto podobné platí i u dalších protokolů (FTPS, poštovní protokoly atd. ). Ve firemních sítích, kde jsou důvěryhodná data, se klade velký důraz na využívání šifrovaných protokolů ke komunikaci se
33
Celosvětová síť Eduoram [27].
21
službou, která běží na příslušném serveru. Jsou to emaily, internet, intranet, data v datovém uložišti, komunikátory (WebEx), přístup do informačních systémů apod.
5. Zabezpečení uložiště dat Další složkou zabezpečení firemní sítě, je zabezpečení uložiště dat. Uložištěm dat rozumíme server, kde jsou celopodniková data. Praxe je taková, že všechny dokumenty se ukládají na jeden či více serverů s uložištěm. Důvod je takový, že pokud si uživatel ukládá data na svůj pevný disk, tak se může se stát, že pevný disk náhle odejde či počítač je zavirován. Data na serveru jsou zálohovány, tudíž je malá pravděpodobnost, že se o data přijde. Řeší se to použitím nějaké serverové aplikace, která se stará o sdílení dat včetně přiřazování oprávnění k přístupu k daným složkám. Windows Server 200x sdílení dat podporuje a dá se velice jednoduše nastavovat oprávnění k přístupu do jednotlivých složek. Pracuje se s uživatelskými skupinami a po té s jednotlivými uživateli, kteří mají dostat práva. Uživatel si po té namapuje server s uložištěm a následně přistupuje do jednotlivých složek, které vidí všechny, ale do všech nemusí mít přístup nebo jen pro čtení. Další známý server je SAMBA. Je to projekt, který vznikl počátkem roku 1992 a snaží se propojit unixové počítače s počítači, na kterých běží Microsoft Windows. Název je odvozen od zkratky SNB (Server Message Block), což je protokol používaný pro vzdálený přístup ke sdíleným souborům v systémech Microsoft Windows. Velkou výhodou je, že lze v SAMBA přistupovat k souborům jak s unixovými systémy, tak platformou Windows. Dále je nutno podotknout, že samba je volně šiřitelný software, což může ušetřit náklady. Dneska je SAMBA ve verzi 4 a poskytuje velké množství nastavení pro sdílení a oprávnění.
22
Obrázek 15: Nastavení zabezpečení v SAMBA
Já celkové zabezpečení řeším vytvořením serveru s diskovým polem o nějaké kapacity dle potřeby firmy a po té využiji SAMBU, pro kterou využiji uživatelské skupiny ve vytvořeném Windows Server 2003. Jednotlivým uživatelským skupinám či jen samotným uživatelům přiřadím vytvořené složky dle účelu. Pokud přijde nový zaměstnanec, tak mu vytvořím účet na Windows Server 2003 a přidám do skupiny. SAMBA už bude mít nadefinované skupiny uživatelů a nový zaměstnanec bude mít výchozí přístup do složek své skupiny. Pokud by zaměstnanec měl dostat přístup do jiných specifických složek, tak jej v SAMBA přidám ručně. Na Obrázku 15 je vidět nastavení zabezpečení SAMBA.
6. Firewall Firewall (neboli protipožární zeď) má za úkol chránit privátní síť před útoky okolních sítí. Provádí to tak, že zamezuje přístup privátní sítě k službám cizích sítí. Cizími sítěmi ve většině případů rozumí samotný internet. Je třeba, aby firewall byl umístěn mezi privátní sítí a ostatními sítěmi, čímž ochraňuje danou privátní síť od okolí. Firewall se rozděluje do třech základních druhů: paketový filtr, stavový a aplikační proxy. Já chci využít aplikační proxy, protože chci na základě uživatelských účtů či uživatelských skupin vytvořených na Windows Server 2003 přiřadit jednotlivá práva a tak omezovat jednotlivé zaměstnance pro přístup do okolní sítě nebo internetu.
6.1.
Paketový filtr
Tento firewall pracuje pouze na IP vrstvě. Filtrace funguje na základě IP adresy odesílatele a příjemce. Filtr se rozhoduje na základě obsahu záhlaví IP datagramu (případně též záhlaví TCP/UDP paketu). Samotná filtrace na úrovni pouze IP protokolu mnoho nezmůže, ale ve spojení s filtrací na úrovni protokolu TCP je poměrně mocným nástrojem.
23
Obrázek 16: Model TCP/IP
Obrázek 17: Schéma datagramu - zvýrazněny jsou IP adresy adesílatele a příjemce
Při tvorbě filtru jsou teoreticky možné dvě varianty. Buď se vše povolí a dopisují se pravidla specifikující, které prvky kam nesmí. Nebo naopak se vše zakáže a po té se jednotlivě povoluje. Z bezpečnostních důvodů se většinou dává přednost druhé variantě. Filtry se rozdělují do čtyř základních kategorií, ale server s filtrem může podporovat všechny nebo jen některé. 6.1.1. Standardní filtry Standardní filtry filtrují pouze na základě IP adresy odesílatele (odesílatelem se rozumí odesílatel IP datagramu). 6.1.2. Rozšířené filtry Rozšířené filtry filtrující na základě jak IP adresy odesílatele, tak i IP adresy příjemce. Rozšířené filtry umí filtrovat i na základě informací z TCP záhlaví (resp. UDP záhlaví). 6.1.3. Dynamické filtry Dynamické filtry umožňují otevřít umožňující otevřít specifikovaný průchod směrovačem uživateli, který se vůči směrovači autentizoval. Praktické využití tohoto filtru je omezeno spíše na správce systému, protože uživatel se nejprve musí autentizovat např. programem Telnet. To však není pro běžné uživatele. 6.1.4. Reflexní filtry Reflexní filtry, které sledují relaci vyššího protokolu (TCP, resp. UDP) a povolují směrem ven zřídit relaci a směrem dovnitř propouští pouze pakety patřící k této relaci.
24
6.2.
Stavový firewall
Stavový firewall34 rozšiřuje paketový filtr a přichází s novým přístupem. Stavový firewall zkoumá nejen záhlaví daného datagramu, ale dokáže na něj nahlížet komplexně a zkoumá všechny souvislosti celého spojení. Stavový firewall rozezná různé druhy spojení například nově navázané spojení nebo již existující spojení, díky tomu můžeme filtrovat celé datové toky. Princip tedy spočívá v tom, že stavový firewall si ukládá vyhodnocení jednotlivých datagramů a zkoumá souvislosti s dalšími datagramy, kdyžto paketový jednoznačně vyhodnotí, co s datagramem a neukládá si nic do paměti.
6.3.
Aplikační proxy
Již z názvu vyplývá, že tento druh firewallu pracuje na aplikační vrstvě. Znamená to, že komunikuje přímo na aplikační vrstvě s danou aplikací. Proxy v anglickém jazyce znamená prostředník, což tento termín vystihuje pro tento druh firewallu. Je to prostředník mezi klientem a používanou aplikací s daným serverem. Klient posílá požadavek přímo na proxy server a samotný proxy server vyhodnotí tento požadavek respektive komunikaci s dalším serverem, o který klient žádá. Proxy je program skládající se ze dvou částí: a) Ze serverové části (prostředník), která přijímá požadavky klienta, jako kdyby je přijímal cílový server. Požadavky potom předá klientské části. b) Z klientské části, která převezme požadavky od serverové části (prostředník), naváže TCP spojení s cílovým serverem a předá jménem klienta požadavky cílovému serveru k vyhodnocení. Proxy jak už bylo řečeno, rozumí aplikačnímu protokolu (FTP, HTTP, TELNET aj.). Nejvyužívanějším proxy serverem je HTTP proxy sever, kterým se budeme dále zabývat. HTTP proxy server s požadavkem přijatým od klienta může provést několik operací: -
Může přepsat požadavek či odpověď, to znamená změnit data aplikačního protokolu.
-
Odpovědi může ukládat do paměti Cache (například na pevný disk). Pokud proxy obdrží v budoucnu stejný požadavek třeba od jiného klienta, tak může tento požadavek vrátit rychleji přímo z paměti, aniž by navazoval další spojení s cílovým serverem. Je to sice efektivní, ale problém vzniká při aktuálnosti uchovaných odpovědí. V dnešní době se začíná ustupovat od ukládání požadavků do paměti Cache na proxy, protože obsah stránek se dynamicky mění.
-
Může zjišťovat, zdali je klient oprávněn takový požadavek provést.
Proxy může prověřovat oprávněnost klienta a provést nějaký požadavek z několika hledisek:
34
Stavový firewall jakožto rozšíření paketového filtru [28].
25
-
Může zjišťovat, zda klient nepřistupuje na nějaký nežádoucí server. Například zaměstnavatel může nechat na proxy nastavit seznam serverů, na které nebudou moci jeho zaměstnanci přistupovat. V praxi je běžné, že zaměstnavatel zakáže přístup např. na www.facebook.com .
-
Může zjišťovat, zda je uživatel oprávněn proxy vůbec používat. V takovém případě vyžaduje autentizaci uživatele. Nejčastější typy autentizace uživatele jsou: o
Pomocí IP adresy stanice, na které uživatel pracuje. Tato autentizace není příliš bezpečná, proto slouží spíše k administrativnímu omezení některých klientů nepoužívat proxy (např. nepřistupovat přes proxy do internetu)
-
o
Pomocí jména uživatele a stálého hesla.
o
Pomocí jména uživatele a jednorázového hesla.
Proxy běžící na firewallu mohou od operačního systému požadovat, aby prováděl kontrolu, z jakého síťového rozhraní přichází uživatelův požadavek na proxy, to znamená, že uživatel přistupuje ze síťového rozhraní vnitřní sítě, či ze síťového rozhraní internetu. To pochopitelně standardní implementace TCP/IP v operačním systému neumí. To bývá právě jedním z důvodů, proč firewally při své instalaci zásadně zasahují do operačního systému. Podle těchto informací pak proxy zjišťuje, zda je požadavek z intranetu či jde např. o útok z internetu. Útokům z internetu může být také bráněno tím, že serverová část proxy naslouchá pouze na IP adrese vnitřní sítě proxy.
-
V případě, že proxy ví, odkud požadavek přišel (jestli z vnitřní sítě, nebo z internetu), může použít jiný autentizační mechanizmus pro požadavky z vnitřní sítě a pro požadavky z internetu. Např. z vnitřní sítě vyřizuje všechny požadavky, kdežto z internetu vyžaduje autentizaci jednorázovým heslem.
-
I proxy může data před tím, než je předá nebo uloží do paměti Cache zkontrolovat, zda neobsahují viry. Většinou to proxy nedělá sama, ale volá na to jiný proces, který tuto speciální kontrolu provede. Tento proces může běžet na jiném specializovaném serveru a pak se takový specializovaný server označuje jako virusfirewall.
26
proxy.server.cz
80
Obrázek 18: Nastavení proxy na klientu (Windows 7)
Jako každé aplikace na tru dělí do dvou hlavních skupit a to do komerčních a nekomerční. V následujících kapitolách rozepíši a zmíním nějaké aplikace těchto dvou skupin. 6.3.1. Komerční aplikace HTTP proxy Komerčních aplikací je velká řada a já vyjmenuji jen pár aplikací, které stojí za zmínku. Internet Security & Acceleration Server (ISA server) – je integrovaná brána zabezpečení (nejen firewall) na hranici sítě, která pomáhá chránit vnitřní síť před ohroženími z Internetu a současně umožňuje zaměstnancům zabezpečený přístup k datům a aplikacím společnosti Microsoft. ISA Server 2006 kombinuje sílu brány firewall na aplikační vrstvě, řešení pro VPN (virtuální privátní sítě), proxy a webovou mezipaměť. Slouží jako aplikační firewall, VPN brána (pro bezpečné připojení klientů do vnitřní sítě, nebo šifrované propojení poboček), pro bezpečný přístup odkudkoli k elektronické poště v prostředí Microsoft Exchange a intranetových portálů na platformě Microsoft Windows SharePoint Services. Microsoft ISA server disponuje i možnostmi logování a předdefinovaných reportů. Cena za Standard Edition se pohybuje okolo 10000 Kč. Také je dostupná trial verze na 180 dní, která je zdarma. Velkou nevýhodou tohoto systému je, že ISA server má velice mnoho možností a zároveň to tedy vyžaduje zkušeného administrátora pro správu a konfiguraci, což může přinést další náklady. Securepoint UTM 10 – je nejnovější produkt od Rakouské firmy Securepoint GmbH se sídlem v Salcburku. Je to komplexní bezpečnostní systém pro velké společnosti, který je dodáván včetně hardwaru, na kterém bezpečnostní systém běží. Celkový systém má velmi mnoho zabezpečení, ale nás zajímá řešení proxy. Co se týče http proxy, tak podporuje ověřování uživatelů z databáze (různé druhy databáze uživatelů např. LDAP, SQL apod.). Dále sleduje počet stahování dat na uživatele a monitoruje. Blokuje webové stránky v jednotlivých navolených kategoriích. Skenuje viry na
27
webových stránkách a následně upozorňuje uživatele nebo blokuje. Zakazuje stahování objemných souborů. Tento bezpečnostní systém z pohledu HTTP proxy je velmi moderní a propracovaný, což vyžadují firmy, kde je přes několik stovek uživatelů a je potřeba nastavovat práva na přístup do internetu. Ceny neuvádějí, ale pokud si koupíte jejich celé řešení, tak máte záruku 3 roky včetně podpory, ale odhadovaná cena je přes 100000 Kč včetně hardwaru. 6.3.2. Nekomerční aplikace HTTP proxy Nekomerční aplikací rozumíme program, který je zdarma. V dnešní době tyto free programy a operační systémy jsou velice žádány a rozšířeny. My se podíváme na aplikaci zvanou Squid. Squid – Squid je funkcemi nabitý webový zprostředkovatelský proxy server s vyrovnávací pamětí, který poskytuje službu zprostředkování služeb proxy a službu dočasného ukladání souborů do vyrovnávací paměti cache pro protokoly HTTP, FTP a další populární síťové protokoly. Squid umí služby poskytovat i prostřednictvím šifrovaného spojení přes SSL a může dočasně ukládat i DNS (Domain Name Server) záznamy a vykonávat tzv. transparentní ukládání do vyrovnávací paměti. Squid také podporuje nejrůznější protokoly pro řízení ukládání do vyrovnávací paměti jako například ICP (Internet Cache Protocol), HTCP (Hyper Text Caching Protocol), CARP (Cache Array Routing Protocol) a WCCP (Web Cache Coordination Protocol). Zprostředkovatelský server Squid s vyrovnávací pamětí je excelentní řešení při potřebě nasazení nejrůznějších typů zprostředkujících serverů a serverů s vyrovnávací pamětí, které se hodí pro menší podniky, ale i komplikované sítě velkých podniků, protože poskytuje komplexní mechanizmus řízení přístupu a monitorování kritických parametrů přes SNMP (Simple Network Management Protocol (NMP). Při výběru počítačového systému, který má sloužit pro účely serveru Squid je důležité vybrat systém s velkou kapacitou fyzické paměti (RAM), protože Squid udržuje vyrovnávací paměť ve fyzické paměti, aby zvýšil výkon.
7. Instalace služby IAS (Internet Authentication Service) Jak funguje ověřovací služba, už bylo objasněno a teď je potřeba se podívat na praktickou část a to reálnou konfiguraci samotné ověřovací služby na stroji, kde je nainstalován Microsoft Windows Server 2003. Stroj s tímto systémem jsem vybral, protože na tomto stroji běžely některé služby, ale nezatěžovaly stroj naplno a dále, že Microsoft dodává na svých operačních systémech pro servery podporu ověřovací služby. Dále by zde mohla být otázka, proč nevyužít nějaké open source řešení, ale ve velké korporaci, ve které realizuji toto řešení nelze použít open source, protože politika je nastavena na produkty od firmy Microsoftt. Jinak jednotlivé složky konfigurace jsou obdobné jako
28
v alternativních aplikacích, které jsou označovány jako ověřovací služby (RADIUS) – princip je stejný. Windows Server 2003 nenabízí ve výchozí instalaci službu IAS. Je potřeba jí ručně doinstalovat z instalačního CD. Jednoduše „Start -> Control panel -> Add or Remove Programs -> Add/Remove Windows Components -> Netowrk Services -> Details -> Internet Authentication Service“ a služba IAS se zaškrtne a potvrdí se Ok. Služba se doinstaluje a je možno s ní pracovat.
Obrázek 19: Doinstalace služby IAS
Po instalaci IAS se služba musí spustit „Start -> Administrative Tools -> Internet Authnetication Service“ a zobrazí se okno s konfigurací jednotlivých částí služby a tuto službu je možno nadále konfigurovat podle podmínek, které jsou stanoveny a použít ve firemním prostředí. Službu lze zastavit či restartovat. Je to důležitý poznatek, protože když se udělá nějaká změna v konfiguraci, tak je důležité restartovat službu nebo celý server, ale pokud běží několik služeb najednou, tak není dobré restartovat celý server, ale jen službu IAS. Dále se musejí nastavit komunikační porty služby. První ve vlastnostech samotné IAS nastavím porty. V kartě Ports jsou zde dvě velmi důležité položky, jedna je Authentication a v ní nastaveny porty (1812 a 1645), což slouží k ověřování autentizace uživatele. Otázkou je, proč zde jsou dva tyto výchozí porty. Odpověď je jednoduchá, protože první port (1812) je přímo od Microsoftu a druhý je od Cisca. Je dobré tam nechat oba výchozí, protože některá zařízení umí pouze jeden z nich, ale ty novější berou v potaz oba nebo si je můžeme ručně nastavit. Druhá položka Accountig slouží k účtování respektive k přímému přihlášení.
29
Zase máme zde dva porty (1813 a 1646) a vysvětlení je stejné jako u autentizačních portů. Tyto položky se ve většině případů nechávají nastaveny jako výchozí.
Obrázek 20: Nastavení portů služby
Poté se nastaví samotné logovaní, které se konfiguruje v Remote Access Logging. Klikne se na složku, a zobrazí se konfigurační soubory. Nás zajímá LocalFile, protože logový soubor budeme vést přímo na našem stroji. Klikne se pravým tlačítkem na LocalFile a dá se Properities. Pokud bychom chtěli údaje vést na externím databázovém serveru, tak budeme konfigurovat SQL Server, ale je to poněkud složitější na nastavení, protože bychom museli vytvořit jednotlivé tabulky databáze a propojit s naším serverem. Dále pokud nefunguje SQL databáze, tak se IAS služba zastaví, což se v novějších verzích Microsoft Windows Server snaží vyřešit.
Obrázek 21: Remote Access Logging
Nastavíme si údaje, které chceme udržovat v log souboru. Nutno podotknout, že údaje, které lze udržovat v tomto log souboru, jsou pouze uživatelé, kteří jsou vytvoření ve Windows Server 2003. Což je náš případ, protože uživatelské účty a skupiny uživatelů máme vytvořeny v systému Windows
30
Server 2003. Pokud používáme uživatelské účty z jiné databáze (SQL, text soubor apod.), tak se údaje do lokálních log souborů nezapisují.
Obrázek 22: Nastavení informací, které chceme udržovat v Log souboru
V kartě Log File se nastaví cesta k samotnému log souboru. Dále formát souboru – IAS (obyčejný textový soubor s údaji) nebo Database-compatible (lze tento soubor, pak použít pro další databázové zpracování). V poslední řadě se nastaví časový úsek, kdy chceme vytvořit nový log soubor.
V další fázi nastavování ověřovacího serveru je potřeba přidat RADIUS klienty. RADIUS klient v tomto případě není uživatel, který se přihlašuje k serveru, ale je to zařízení (resp. přístupový bod). Klikne se na složku RADIUS Clients pravým tlačítkem myši a dá se New RADIUS Client.
Obrázek 23: Přidání AP jako RADIUS klient
V prvním okně se zapíše název zařízení (např.: AP_2) a IP adresa, kterou nese toto zařízení. Na zařízení je potřeba nastavit pevnou IP adresu nebo na DHCP serveru je potřeba rezervovat jednu
31
pevnou IP adresu k zařízení a nastavit podle MAC adresy samotného zařízení. Až se budou konfigurovat bezdrátové prvky, tak při přidání nového zařízení do sítě, se musí nejdříve opsat MAC adresa, kterou nese dané zařízení. Poté se dá Next a zobrazí se další okno.
Obrázek 24: Nový RADIUS klient - jméno, ip adresa
V dalším okně se nastaví verze RADIUS serveru. Pokud používáme Cisco zařízení, tak je třeba vybrat Client-Vendor: Cisco, protože jsou to specifická zařízení a nemusely by komunikovat, kdybychom nastavili něco jiného. A to platí i pro další zařízení, ale to je potřeba vědět, která zařízení v síti používáme. My budeme používat Client-Vendor: RADIUS Standard. Dále je potřeba nastavit heslo, které je sdíleno mezi RADIUS serverem a bezdrátovým zařízením. Klíč by měl obsahovat minimálně deset znaků a skládat se z velkých, malých písmen a číslic. Vyhnout bychom se měli speciálním znakům a mezerám, protože některá zařízení by s takto složeným klíčem měla problém. Klikne se na Finish a zařízení je přidáno. Tento postup se musí opakovat pro každé zařízení, které se používá v komunikaci s RADIUS serverem.
Obrázek 25: Nastavení Client-Vendor a klíč (sacret)
32
Dále se nastaví politika pro autentizaci a autorizaci uživatelů, kteří budou chtít přistupovat k našim zařízením. Pravým tlačítkem se klikne na Remote Access Policy a dá se New Access Policy. Bude nás provázet průvodce a vyplníme jednotlivé položky s nastavením. Protože se může použít RADIUS server na ověřování přes VPN (když se uživatel bude chtít ověřit přes internet do firemní sítě) nebo ověřování přes telefonní linku pomocí ISDN či ověřování uživatelů připojených do sítě přes přepínač pomocí ethernetu, tak je potřeba metodu specifikovat. V mém případě nastavím Wireless, protože vytvářím ověřování přes bezdrátovou síť.
Obrázek 26: Vybereme Wireless
V dalším okně nastavím uživatele či uživatelské skupiny, které dostanou přístup. Tyto uživatele a skupiny vyberu z účtů, které jsou nadefinované na Windows Server 2003. Může se přidat i jiný server, který je umístěn v síti s uživatelskými skupinami a účty. Uživatelské účty a skupiny se nastavují kliknutím na My Computer pravým tlačítkem a vyberu z nabídky Manage. Zobrazí se okno, kde je složka Local Users and Groups. Vytvořím nejdříve skupinu a do ní přidám uživatelské účty (jméno a heslo). Toto je potřeba udělat pro všechny uživatele resp. zaměstnance.
33
Obrázek 27: Skupiny a uživatelé systému Windows
V posledním okně vyberu typ autentizace uživatelů. V mém případě PEAP. Tento typ ověřování se musí potom nastavit i na uživatelské stanici.
Přibyla nově vytvořená politika. Kliknu na ní pravým tlačítkem myši a dám Properties. V novém okně si politiku, kterou jsem si vytvořil detailně donastavit. Já se koukneme jen na autentifikaci a na šifrování, další věci pro nejsou podstatné k funkčnosti RADIUS serveru. U autentifikace máme nastavenou metodu PEAP, kterou jsem nastavil při vytváření politiky. Zde ještě musím přidat rozšíření této metody. Vyberu MS-CHAPv2, protože je to nejlepší ověřovací protokol, který nám nabízí Windows Server 2003.
34
Obrázek 28: Nastavení autentizace EAP Methods
Šifrování nastavím na nejsilnější, dneska běžná praxe hlavně u podnikových sítí. Pokud bych nenastavil šifrování, tak komunikace by nebyla šifrována, což nechci!
Obrázek 29: Samotné šifrování
Poslední co stojí za zmínku je, že poslední složky s nastavením je Remote RADIUS Server Group, kde se můžou přidat další ověřovací servery. Pokud přidám další server, tak můžu ověřovat další uživatele s přidané domény uživatelů. Toto nastavení se používá u mezinárodních firem nebo u univerzit, protože uživatel přijede do jiné země například na konferenci nebo student na zahraniční
35
studium a může se bez problémů připojit do sítě. Uživatelské informace se nadále stahují ze serveru, kde jsou tyto informace (účty) vytvořeny. V praxi se nepoužívá jeden centrální server s uživatelskými účty, tak proto se dá přidat další ověřovací server do dané domény. Tímto je server nastaven. Jak bylo vidět, tak těch možností nastavení je více, a každá síť může používat něco specifického. Je také za potřebí si nejdříve udělat plán, ve kterém budou specifikována zařízení, která se v síti použijí a informovat se, co všechno daná zařízení podporují. Protože jak jsem už zmínil, tak může nastat problém například s použitím Cisco prvků.
8. Nastavení bezdrátových zařízení Nastaven RADIUS server už mám. V této kapitole nakonfiguruji bezdrátový přístupový bod a propojím s nakonfigurovaným RADIUS serverem. Budu se snažit použít zařízení a zabezpečení, která by se dali v praxi použit v podnikovém prostředí. Tedy s důrazem na zabezpečení a jednoduchou konfiguraci. Moje požadavky na zařízení byly:
Zařízení podporující WPA2 enterprise, tedy ověřování pomocí RADIUS serveru.
Jednoduché a přehledné uživatelské prostředí, nejlépe webové.
Správa několik přístupových bodů najednou. Protože např. při změně SSID nechci přenastavovat několik zařízení zvlášť.
Vybral jsem řešení od americké společnosti Ubiquity, která se od roku 2005 zabývá bezdrátovými prvky Wi-Fi. Řešení má firemní označení UniFi a je určeno pro velké podniky. Princip UniFi spočívá v tom, že je to za prvé přístupový bod (samotné zařízení) a za druhé management pro správu a nastavení celé bezdrátové enterprise sítě se všemi bezdrátovými prvky s označením UniFi. Na následujícím obrázku je znázorněno jednoduché schéma zapojení UniFi řešení spolu s RADIUS serverem (RADIUS server není podmínkou, ale já ho použiji). Všechny AP jsou zapojeny do switche, tedy pracují na druhé vrstvě (l2). Důležitým prvkem v síti na následujícím obrázku je připojen obyčejný počítač, na kterém je nahrán management (management může běžet přímo i na serveru). Managementem se nastavují všechny bezdrátové prvky v síti.
36
Obrázek 30: Jednoduché síťové schéma
Pokud umístím ve firmě všechny bezdrátové prvky a následně je zapojím všechny do switche či do několika switchů, tak můžu přejít na nastavování bezdrátové sítě. Další podmínkou je funkční DHCP server, na kterém je potřeba přiřadit IP adresu k jednotlivému zařízení pomocí MAC adresy, protože UniFi zařízení při jeho spuštění nejdříve čeká na IP adresu od DHCP a když jí nedostane, tak si nastaví svou výchozí adresu (všechny zařízení by měli stejnou).
8.1.
Instalace managementu UniFI Controller
Instalační management UniFi Controller je na CD u zařízení v originální krabici. 8.1.1. Systémové požadavky
Operační systém: Microsoft Windows XP, Windows Vista, Windows 7, Mac OS X nebo Linux.
Java Runtime Environment 1.6 (nebo vyšší).
Webový prohlížeč: Mozilla Firefox, Google Chrome nebo Microsoft Internet Expolorer 8 (nebo vyšší).
Nainstaluji management UniFi Controlles. Po té se program zeptá, zda chci spustit UniFi controller, tak dám Lunch a Browser to Manage Wireless Network. Problém může nastat se samotnou Javou a prohlížečem, pokud dělám konfiguraci na samotném Microsoft Windows server 2003, tak je třeba hlavně aktualizovat prohlížeč a doplnit Javu Runtime Environment 1.6 (nebo vyšší).
37
Obrázek 31: Spustění UniFi Controlleru
Ve webovém prohlížeči se spustí průvodce prvním nastavením, kde je nejdůležitější nastavit uživatelské jméno a heslo do managementu, zbytek je lepší nastavit až v managementu. Welcome zde je možnost nastavit stát a jazyk. Význam to nijaký nemá, protože jazyk je pouze anglický. Discover zde si vyberu zařízení, které našel management, a chci s nimi pracovat. Vidím zde MAC adresu, IP adresu, verzi firmwaru a uptime zařízení. Při prvním spuštěním systému je to dobré, když se nám zařízení zobrazí, mám přehled o komunikujících zařízeních. Wireless zde nastavuji primární SSID a heslo. Musím údaje vyplnit, ale potom je ještě detailněji budu konfigurovat. Lze vytvořit ještě účet host, ale ten je lepší nakonfigurovat později. Password zde nastavuji uživatelské jméno a heslo pro přístup do administrátorského managementu.
Obrázek 32: Prvnotní nastavení
8.2.
Konfigurace podnikové sítě pomocí UniFi
Základní povinná konfigurace je hotová a teď je možnost se přihlásit do administrace. Zadám jméno a heslo, které jsme vytvořil a přihlásím se. Zobrazí se administrační stránka viz. následující obrázek.
38
Obrázek 33: Administrace UniFi
Na obrázku 34 je zobrazena administraci UniFi, ve které je vždy uprostřed schéma budovy, do které se přidávají jednotlivá bezdrátová zařízení, která jsou v místnostech umístěná. V horním panelu je stav přístupových bodů tzn. počet připojených, odpojených nebo nově přidaných a nenakonfigurovaných. Dále počet aktivních uživatelů nebo hostů. Pod tímto je umístěna mapa a její konfigurace, lze přidávat mnoho map, do kterých se zanášejí bezdrátové zařízení, a potom se jen přepíná mezi mapami. Je to velice dobré pro přehled zařízení, které máme umístěné po celé firmě. Pokud nějaké zařízení přestane komunikovat, tak v mapě vidím, kde je zařízení umístěno. Dále jsou zde statistiky, kde je zobrazen trafik jednotlivých uživatelů nebo jednotlivých přístupových bodů. Dále je evidence access pointů, kde jsou údaje o konfiguraci (MAC, IP, kanál apod.). V levém panelu jsou umístěny nepřiřazené AP, které se přetáhnutím umísťují do vybrané mapy. Nejdůležitější pro konfiguraci je dolní menu, ve kterém je samotné nastavení celé sítě.
Obrázek 34: Spodní menu UniFi
39
Spodní menu se skládá: Recent Events, což jsou nedávné události, které se staly. Např. připojeno nové AP nebo odpojeno či udělané změny, které jsou provedeny. Alerts, jsou hlášení, která nás vždycky upozorní na nějakou událost např. nová verze firmware nebo nefunkční AP, takže mám přehled o celém systému a jeho chodu. Admin, zde si můžu zálohovat celou konfiguraci, kterou uděláme. Následně lze obnovit, což je velice užitečné. Settings, zde se nastavuje celá síť.
8.3.
Nastavení sítě v UniFi Controlleru
8.3.1. Settings > System Na kartě system nastavím název celého našeho systému a stát. Dále můžu nastavit automatické aktualizace sytému, protože management je vyvíjen, tak je potřeba jej aktualizovat. Dále zaškrtnu objevování plug and play zařízení na síti. Znamená to, že když se připojí nové zařízení do sítě, tak se hned rozpozná. Poslední nastavení je vzdálený přístup do managementu. Pokud budu chtít přistupovat vzdáleně, tak zadám IP povoleného počítače a port.
Obrázek 35: Karta Setting > System
8.3.2. Settings > Wireless Networks Zde nastavuji a přidávám nové SSID sítě (zařízení podporuje pouze čtyři SSID).
40
Obrázek 36: Sítě, které vysílají max. 4
Na obrázku 36 jsem vytvořil čtyři sítě různého zabezpečení:
První – Moje_Firma využívá WPA-personal – tzn. k připojení je vyžadován pouze klíč. Na obrázku 37 je znázorněno nastavení. V prvním řádku se nastaví SSID. Dále se nastaví zabezpečení – WPA-Personal a to vyžaduje klíč, který musím zadat. Pokud budu chtít povolit přístup hostů, tak musím zaškrtnout Guest Policy. Nastavení hostů se nastavuje v Settings > Guests Control. V posledním případě můžu nastavit VLANy – to jsou virtuální sítě (hodně využíváno v praxi) a priority tzn. které síti chci dávat přednost.
Obrázek 37: Moje_Firma - WPA-Personal nastavení
Druhá – GE-site využívá WPA-Enterprise – tzn. nastaven RADIUS server k ověřování. Celkové nastavení je vidět na Obrázku 38. V prvním řádku napíši název SSID. Dále nastavím zabezpečení v tomto případě WPA-Enterprise a následně napíši IP adresu RADIUS serveru, port a klíč, který jsem nastavoval na našem RADIUS serveru. Dále můžu povolovat přístup hostů do sítě, ale pravidla se nastavují v Settings > Guests Control. Koonku Advanced je stejná jako u předchozího nastavení.
41
Obrázek 38: GE-site - WPA-Enterprise nastavení
Třetí - free-konference je bez zabezpečení, pouze free hotspot, do kterého se může připojit kdokoliv. Stačí v nastavení u zabezpečení dát Open.
Čtvrtá - wep_sit poslední síť používá ke svému zabezpečení WEP 128 bitový nebo 256 bitový a rozlišuje se podle velikosti klíče, který se tam zadá.
Toto je celé k nastavení jednotlivých SSID a zabezpečení. Velice jednoduché, rychlé a zabezpečení dostačující ve firemním prostředí. 8.3.3. Settings > Guest Control Velmi praktická dovednost celého UniFi je, že se vytvoří nejdříve síť jako v předchozí kapitole a dám povolit politiku hostů. V Settings > Guest Control si nadefinujeme všechny práva u hostů viz. obrázek 39.
Obrázek 39: Guest Control – nastavení
Nejdříve je potřeba zatrhnout Enable Gust Portal. Potom nadefinovat autentifikaci a poté vložím stránku, na kterou se hosti budou přesměrovávat. Využívá se to např. u informačních stránek instituce (hotel, škola, veletrh apod.), protože se nechce, aby uživatel, který nemá oprávnění přistupoval dále do sítě, tak se označí za hosta a omezí se jen na informační stránku, kde se může dočíst, jak se např. zaregistrovat, aby se mohl připojit k internetu, nebo se může dočíst informace o dané instituci včetně kontaktů či produktů firmy. Další kolonka je omezení subnetů, kde nastavím IP adresu lomeno
42
velikost subnetu, protože chci udělat omezení jen na určitý subnet a počet IP adres. Důvod je, že si vyhradím počet IP na podsíťování bezdrátové sítě a další adresy použiji třeba pro pevné PC ve firmě.
9. Nastavení HTTP proxy Touto kapitolou si kladu za cíl nastavit HTTP proxy server, který bude mít za úkol využít uživatelské účty a skupiny uživatelů, které jsou vytvořeny na již nastaveném RADIUS serveru a tím kastovat jednotlivé uživatele nebo skupiny. Chci vybrat nejdříve vhodnou aplikaci, která podporuje HTTP proxy a má jednoduché nastavení. Dále chci nadefinovat pár webových filterů a ty přiřadit jednotlivým uživatelům. Vybral jsem aplikaci CCPROXY, důvod byl ten, že za prvé podporuje operační systém Windows Server 2003 a má všechny funkce, které jsem potřeboval k nastavení. Dále má jednoduché uživatelské prostředí, kde je velice jednoduché cokoliv nastavit. Cena této aplikace je 70 USD za neomezenou licenci, což je přijatelná cena.
9.1. -
CCPROXY – základní funkce35
Modem sdílení (Dailup, ISDN), DSL připojení k internetu (ADSL, xDSL), kabelové připojení k internetu, širokopásmové připojení k internetu, satelitní připojení, bezdrátové připojení
-
Podporované protokoly: HTTP, HTTPS, FTP, FTPS, Gopher, SOCK4/5, Telnet, NNTP, RTSP, MMS
-
Podpora mapování portů
-
Web cache
-
Řízení šířky pásma
-
Časový harmonogram řízení přístupů
-
K dispozici je sedm typů účtu ověření: IP adresa, rozsah IP, MAC adresa, uživatelské jméno a heslo, IP + uživatelské jméno a heslo, MAC + uživatelské jméno a heslo a IPO + MAC
-
Mail proxy například Outlook
9.2.
Nastavení uživatelů a skupin uživatelů
Aplikaci jsem stáhl a zaplatil plnou verzi. Po té jednoduše nainstaloval a můžu se dát do nastavení. První co nastavím, jsou uživatelské účty, které jsou vytvořeny na Windows Server 2003. Stačí ve správci účtů zaškrtnout NT user Auth Domain a načtou se všechny účty, které jsou ve Windows Server 2003 vytvořeny. Zbytečné účty vymažu a nechám jen zaměstnance, kteří se budou připojovat. Pokud přidám dalšího uživatele, tak se automaticky objeví v tabulce, což je velká výhoda, ale musím mu donastavit některé údaje, ale dá se to dělat hromadně označením vybraných uživatelů. 35
CCPROXY features [29].
43
Obrázek 40: Uživatelé v CCPROXY
Dále je potřeba u každého uživatele nastavit pár věcí viz následující obrázek, kde se podívám na jednoho vybraného uživatele.
Obrázek 41: Detail uživatele
U uživatele můžu nastavovat IP adresu, MAC adresu nebo oboje najednou, ale v mém případě tuto možnost nepoužiji, protože uživatelé dostanou IP adresu z DHCP serveru náhodně. Dále bych musel si vést evidenci a přidávat ručně MAC adresu nového zařízení, což nechci. Dále velice dobrá vymoženost je nastavování šířky pásma tzn. maximální hodnota připojení uživatele nebo omezení rychlost stahování. Dále nastavuji protokoly proxy serveru, primárně nechávám všechno, ale budu se zabývat nejvíce WWW. Důležité nastavení je vybrat webový filtr, který budu nastavovat v následujících kapitolách. A v posledním nastavení je rozvrh, kde můžu nastavit časový
44
harmonogram, kdy omezuji uživatele nebo ne. Do budoucna to určitě využiji, například zakážu nějaké klienty, když se budou zálohovat data.
9.3.
Web filter
Web filter je pro moje řešení důležitou věcí, protože nastavím různé filtry a ty přidělím uživatelů m a tím docílím, že ne všichni uživatelé si budou rovni pro přístup do internetu nebo případně dalším službám. Ukážu na následujícím obrázku nastavení filteru, který se dá bez problémů rozšířit či zúžit. Každopádně nejdříve můžu nastavit, že chci omezit jen některé stránky (Forbidden Sites) nebo povolit (Permitted Sites). Já jsem nastavil, že zakazuji facebook.com, novinky.cz, lide.cz a všechno co komunikuje na portu 1863. Dále nastavím zakázané typy souborů, když nechci, aby mi zaměstnanci stahovali z internetu exe soubory. A poslední položka je zakázaný obsah, kde napíši zakázaná slova, které vystihují web.
Obrázek 42: Web filter detail
45
10. Závěr Zde bych chtěl shrnout všechnu práci, kterou jsem udělal. Ze začátku jsem si vytyčil cíle vytvořit celkové zabezpečení podnikové sítě, kterou jsem rozdělil na několik odvětví, samozřejmě mě nejvíce zajímala bezdrátová část, ale bylo zapotřebí vyřešit i další časti sítě, protože je to součást. Všechny odvětví jsem se snažil nejdříve popsat a připojit své zkušenosti. Druhou části byla praktická konfigurace celé sítě. Využil jsem stávající server, na kterém běžely nějaké služby, ale server nebyl zcela využit. Při instalaci samotného RADIUS serveru jsem zjistil, že přidávat další služby na stávající server nebyl dobrý nápad, protože ty služby, které původně běžely, začaly zlobit. Například webový server s intranetem, který zde běžel, se začal odpojovat. Tak jsem vzal vyřazený server, nainstaloval Windows Server 2003 a vyhranil pouze pro RADIUS, DHCP, UniFi management a HTTP proxy. Nejdříve jsem se obával, že budu muset všechny uživatelské účty přepsat ručně a vytvořit nová hesla, ale podařilo se mi propojit původní server s novým serverem přes doménu a uživatelé se načítají z původního serveru. Dále jsem nainstaloval službu IAS a nastavil RADIUS server, který jsem náležitě popsal a vyzdvihl, na co je potřeba si dát pozor při konfiguraci Co se týče zabezpečení, tak jsem nastavil PEAP a MS-CHAPv2 128 bit šifrování. Po té jsem zapojil všechny bezdrátové prvky, které byly umístěny ve firemní budově a to na úrovni druhé vrstvy (L2) do switchů. Do switche jsem připojil i server s RADIUSem. Nastavil jsem na něm DHCP a vyhradil jeden C subnet. Z každého bezdrátového prvku ve firmě jsem opsal MAC adresu a zakreslil polohu do plánu budovy. Na DHCP server jsem vložil všechny MAC adresy bezdrátových prvků a přiřadil IP adresu. Dále jsem se zaobíral nastavením UniFi Enterpise. Při instalaci mi systém našel všechny zařízení, které jsme byly zapojeny a umístěny po celé budově. Nejdříve jsem všechny prvky umístil do mapy, kterou jsem vložil do UniFi a dále jsem nastavil název sítě a zabezpečení WPA-Enterpise, kde jsem zapsal IP adresu RADIUS serveru. Po té jsem se zkusil připojit na přístupový bod, ale bohužel se mi to nepodařilo, protože jsem neměl na uživatelské stanici nastaveno ověřování PEAP s MS-CHAPv2. Nastavil jsem to a RADIUS mě ověřil, dal přístup a IP adresu. Poslední co jsem řešil, byl HTTP proxy. Použil jsem CCPROXY a program předčil mé očekávání, protože mi nevznikl žádný problém a nastavení bylo velice jednoduché. Nejdříve jsem načetl uživatelské účty zase z domény, což proběhlo bez problému. Nadefinoval jsem několik webových filterů, ale do budoucna se budou muset rozšířit, protože se musím poradit ve firmě, koho a jak omezovat. Samozřejmě, že jsem udělal testové připojení, abych vyzkoušel filter. Za prvé jsem si nastavil proxy server do svého prohlížeče (IP a port). Po té jsem zkoušel zadávat různé adresy nebo vyhledávání klíčových zakázaných slov.
46
Osobně jsem byl potěšen, že celé toto řešení bylo ve zpětném pohledu na celkově vynaloženou práci jednoduché a prakticky fungující. Nejvíce bych kladl důraz na řešení UniFi.
47
11. Použitá literatura [1] Zandl P.: Wi-Fi praktický průvodce; Computer Press Brno 2003, ISBN 80-7226-632-2, str. 130 [2] technet.microsoft.com: Internet Authencation Service;
[3] ubnt.com/forum: UniFi Enterprise; [4] technet.microsoft.com: MS-CHAPv2; < http://technet.microsoft.com/en-us/library/cc957983.aspx> [5] lupa.cz/clanky: HTTPS – bezpečnost jen pro vyvolené?; [6] cs.wikipedia.cz: ASCII; < http://cs.wikipedia.org/wiki/ASCII> [7] aircrack-ng.org: Aircrack-ng; [8] datatracker.ietf.org/doc: RFC4017; [9] en.wikipedia.org: Tempotary key Integrity Protocol; [10] lupa.cz/clanky: Bezpečnost WLAN opět v řečech; [11] datatracker.ietf.org/doc: RFC3579; [12] datatracker.ietf.org/doc: RFC5216;
48
[13] datatracker.ietf.org/doc: RFC3748; [14] datatracker.ietf.org/doc: RFC5281; [15] datatracker.ietf.org/doc: RFC4186; [16] datatracker.ietf.org/doc: RFC3580; [17] lists.cistron.nl/pipermail/cistron-radius/2001-September: Cisco LEAP protocol description; [18] datatracker.ietf.org/doc: RFC1334; [19] datatracker.ietf.org/doc: RFC1334; [20] datatracker.ietf.org/doc: RFC1994; [21] technet.microsoft.com: MS-CHAPv1; [22] abclinuxu.cz/zpravicky: Prolomení WPA-PSK za 18 dolarů; [23] mader.cz/product: Ibm MS Windows Server 2008; [24] aradial.com: Billing Hotspot;
49
[25] tekradius.com: Buy; [26] evolynx.com: Pricing; < http://www.evolynx.com/pricing.aspx> [27] eduoram.org: What is Eduaoram? [28] Chapman D. and Zwicky E.: Principy budování a udržování FIREWALLY; Computer Press Brno 2007, ISBN 80-7226-051-0, str. 57 [29] youngzoft.net: Features [30] Dostálek L a Kabelová A.: Velký průvodce protokoly TCP/IP a systémem DNS; Computer Press Brno 2008, ISBN 978-80-251-2236-5 [31] Rodryčová D a Staša P.: Bezpečnost informací jako podmínka prosperity firmy; Grada publishing 2000, ISBN 80-7169-144-5 [32] Northcutt S.: Bezpečnost počítačových sítí; Computer Press Brno 2005, ISBN 80-251-0697-7 [33] Bigelow S.: Mistrovství v počítačových sítích; Computer Press Brno 2004, ISBN 80-251-0178-9
50
12. Seznam obrázků Obrázek 1: Schéma bezdrátové podnikové sítě ....................................................................................... 9 Obrázek 2: Výčet možností zabezpečení bezdrátové sítě ...................................................................... 10 Obrázek 3: Network Stumbler – skenování prostoru ............................................................................ 12 Obrázek 4: Autentizace sdíleným klíčem (shared-key) ......................................................................... 12 Obrázek 5: Aircrack – GUI ................................................................................................................... 13 Obrázek 6: Autentifikace PSK - jen klíč ............................................................................................... 14 Obrázek 7: Výběr EAP autentizace ze strany klienta ............................................................................ 15 Obrázek 8: Nastavení EAP autentizace z pohledu AP .......................................................................... 16 Obrázek 9: Ukázka MAC listu .............................................................................................................. 18 Obrázek 10: Autentizace pomocí externího serveru (RADIUS) ........................................................... 19 Obrázek 11: Aradial HotSpot rozhraní .................................................................................................. 20 Obrázek 12: TekRadius GUI ................................................................................................................. 20 Obrázek 13: Evolynx GUI ..................................................................................................................... 20 Obrázek 14: Mapa Eduoramu ................................................................................................................ 21 Obrázek 15: Nastavení zabezpečení v SAMBA .................................................................................... 23 Obrázek 16: Model TCP/IP ................................................................................................................... 24 Obrázek 17: Schéma datagramu - zvýrazněny jsou IP adresy adesílatele a příjemce ........................... 24 Obrázek 18: Nastavení proxy na klientu (Windows 7) ......................................................................... 27 Obrázek 19: Doinstalace služby IAS ..................................................................................................... 29 Obrázek 20: Nastavení portů služby...................................................................................................... 30 Obrázek 21: Remote Access Logging ................................................................................................... 30 Obrázek 22: Nastavení informací, které chceme udržovat v Log souboru............................................ 31 Obrázek 23: Přidání AP jako RADIUS klient ....................................................................................... 31 Obrázek 24: Nový RADIUS klient - jméno, ip adresa .......................................................................... 32 Obrázek 25: Nastavení Client-Vendor a klíč (sacret)............................................................................ 32 Obrázek 26: Vybereme Wireless ........................................................................................................... 33 Obrázek 27: Skupiny a uživatelé systému Windows............................................................................. 34 Obrázek 28: Nastavení autentizace EAP Methods ................................................................................ 35 Obrázek 29: Samotné šifrování ............................................................................................................. 35 Obrázek 30: Jednoduché síťové schéma ............................................................................................... 37 Obrázek 31: Spustění UniFi Controlleru ............................................................................................... 38 Obrázek 32: Prvnotní nastavení ............................................................................................................ 38 Obrázek 33: Administrace UniFi........................................................................................................... 39 Obrázek 34: Spodní menu UniFi ........................................................................................................... 39 Obrázek 35: Karta Setting > System ..................................................................................................... 40
51
Obrázek 36: Sítě, které vysílají max. 4.................................................................................................. 41 Obrázek 37: Moje_Firma - WPA-Personal nastavení ........................................................................... 41 Obrázek 38: GE-site - WPA-Enterprise nastavení ................................................................................ 42 Obrázek 39: Guest Control – nastavení ................................................................................................. 42 Obrázek 40: Uživatelé v CCPROXY .................................................................................................... 44 Obrázek 41: Detail uživatele ................................................................................................................. 44 Obrázek 42: Web filter detail ................................................................................................................ 45
13. Seznam tabulek Tabulka 1: Délky klíčů ASCII a HEX ................................................................................................... 11
52
