A távoli munkavégzés biztonsági problémái. Windows Server 2012 komponensek Flashcards
Egyre nagyobb igény a távoli elérésre
- Távmunkások, mobil felhasználók (otthonról, hotelekből, stb.)
- Vezeték nélkül (hotspot-ok, repterek, stb.)
- Dolgozók, partnerek, beszállítók, vevők, stb.
Szükséges minimum
- A belső webes alkalmazások külső elérése – Webszerverek, SharePoint, Exhange komponensek
Gyakran szükséges
59. Emeltszintű munkavégzés – a desktop elérése (RDP, RDP over SSL) – HTTPS – VPN – SSH
Problémák
A távoli elérés sosem biztonságos – Biztonságos-e a távoli gép? – Más is használhatja a távoli gépet. – Nincs felügyelet és központi kezelés. – Nincs GP, WSUS, központi AV, szoftvertelepítés, stb.
Levelezés, csoportmunka
o VPN: levelezésre nem szükséges és veszélyes.
o Outlook Webaccess – be lehet állítani, hogy titkosítatlanul ne menjen soha a jelszó, de nem lehet offline módban használni.
o Outlook Mobile Access – könnyen lehet titkosítani, de nem lehet offline módban használni.
o Outlook: RPC over http, SSL alagútba tereli a forgalmat a tűzfaltól kifele ill. a tűzfalig.
o Pop3, IMAP – nem túl nehéz letiltani a titkosítatlan változatot, ami nem csak a jelszavakat védi, hanem a levél tartalmát SSL csatornába tereli.
Fájl megosztások elérése
- Nincs egyszerű és biztonságos módszer
- SSL-en keresztül SharePoint
- VPN alagút, karantén alagút
- Network Access Protection
Távfelügyelet: helyi erőforrások használata, Remote Desktopon keresztüli munkához.
Jelszó problémák
- eláruljuk a jelszavunkat
- Single Sign On – mindenhova egy jelszó, titkosítlanul
- Outlook Web Access – be lehet állítani, hogy titkosítatlanul ne menjen soha jelszó
- FTP – nehéz megoldani h a jelszó ne menjen tikosítatlanul soha
- VPN alagút – nem egyszerű vagy egyáltalán nem lehetséges kialakítani nyilvános gépeken.
- http:// - oldalakon megadott jelszó kódolt, de nem titkosított, visszafejthető.
Megoldások
- ne használjunk FTP-t, vagy ha igen ne a fontos név-jelszó párost használjuk
- Ne használjunk titkosítatlan levélolvasást, pl.: POP3 bár szerver oldalon le lehet tiltani
- Ne használjuk a vállalati jelszavukat, ha http oldalon vagyunk.
SSH
Segédprogram, protokoll, titkosító eszköz ügyfél-kiszolgáló alkalmazás és parancsfelület is egyben. Cél: két számítógép között egy potenciálisan nem biztonságos hálózaton (pl. Interneten) keresztül egy titkosított kommunikációs út kiépítése.
Leggyakoribb, a telnettel megegyező módon a távoli bejelentkezéssel kapott biztonságos parancsértelmező. Biztonságos állományátvitel. Biztonságos végpontáthelyezés (port forward). Általános célú titkosított csatorna kiépítése, amely alkalmas akár e-mail kapcsolatok titkosítására. Legegyszerűbb formájában TCP segítségével kapcsolódik a géphez, felhasználónevet és jelszót kér az azonosításhoz. Ha a hitelesítés sikeres, elkezdi titkosítani az adatokat.
Hitelesítés
A hitelesítési fázis során választja ki és cseréli ki a kapcsolati kulcsokat. SSH1 esetén RSA-t, SSH2 esetén DSA-t használ. A titkos kulcsot kódolva tárolja, a nyilvános kulcs a megfelelően hitelesített felhasználó gépén tárolódik. Ez teszi lehetővé az SSH kliensszoftverek számára az automatikus hitelesítést.
Titkosítás
- SSH1 esetén DES, 3DES, IDEA, BLOWFISH
- SSH2 esetén 3DES, BLOWFISH, TWOFISH, ARCFOUR, CAST128-CBC
Az SSH lehetővé teszi bizonyos, a végpont (port) számával azonosított forgalom SSH alagúton történő átirányítását.
1. OpenSSH: ingyenes, Unixra és Windowsra
2. SSH2: kereskedelmi változata, üzleti használatért fizetni kell, nem üzleti használatra ingyenes
3. VanDyke Software: kereskedelmi változat.
SSH ügyfelek: OpenSSH, PuTTY, SecureCrt, WinScp…
VPN – protokollok
- PPTP (Point-to-Point Tunneling Protocol): Egyszerű, gyorsan beüzemelhető, biztonságos. Hitelesítés tipikusan az MS-CHAPv2 jelszó alapú szabvány szerint, de használhatók akár SmartCardok is. Adattitkosítás 128 bites RC4-es módszerrel. Nem igényel különösebb infrastruktúrát semelyik oldalon (PKI-t sem). Egyszerűen NAT-olható (pl., ha egy RRAS mögül próbálunk VPN-ezni kifelé akkor is működik). Teszt üzemmódban tökéletesen megfelel, de akár később is.
- L2TP (Layer Two Tunneling Protocol): Jóval komolyabb megoldás 2 protokollból áll, az L2TP a burok nem titkosít, ezen belül IPSec. Tanúsítvány alapú hitelesítéssel dolgozik. De használható a pre-shared key módszer is (előre megosztott kulccsal hitelesíti egymást a két oldal). PKI infrastruktúra szükséges
– Azaz lényegesen bonyolultabb a beüzemelése, viszont fokozottan biztonságos NAT-Traversal az integritásprobléma megoldására
– Egy NAT szerver a fejléces csomagjait módosítja és az IPSec ezt nem tűri, ezért UDP csomagokba rakjuk az egészet.
Win Server Komponensek
- RRAS - Routing and Remote Access Server:
o Az RRAS képes (ma már inkább ISA): Dialup-os és VPN-es távoli elérést nyújtani. Site-to-site kapcsolatok létrehozásának támogatására. NAT szerverként működni. LAN routerként működni. A fentiek összes kombinációja. Távelérési házirendek készíthetők
Üresjárat, max. munkamenet, időbeli szigorítás, stb.
o RADIUS (IAS) támogatás.
Hitelesítés és házirendek központilag
RADIUS szerverek felé hitelesítési csomagok v. belépési
o információk továbbküldése (RADIUS proxy üzemmód). VPN karantén (csak W2K3-tól)
A VPN kliensek rendszabályozásához
o Tartalmaz egy viszonylag egyszerű tűzfalat - VPN - Virtual Private Network
- CMAK - Connection Manager Administration Kit:
o Speciális eszköz, amellyel csomagolunk: Előredefiniált VPN kliens beállításokat. Kiegészítő eszközöket (opcionálisan). Az előkészítése eredménye egy .exe fájl. A kliensen pedig: egy testreszabott VPN kapcsolat (kötelezően azokkal a beállításokkal fog majd bejönni a hálózatunkba VPN kliensként, amit mi szeretnénk) - RDP - Remote Desktop Protocol
