Embed Size (px)
Citation preview
Vzorový projekt bezpečnej počítačovej siete s pripojením
vzdialených pracovísk s technológiou VPN
DIPLOMOVÁ PRÁCA
MARTIN PERONČÍK
ŽILINSKÁ UNIVERZITA V ŽILINE
Elektrotechnická fakulta
Katedra telekomunikácií a multimédií
Študijný odbor: TELEKOMUNIKÁCIE
Vedúci diplomovej práce: Ing. Stanislav Kuľhavý
Stupeň kvalifikácie: inžinier (Ing.)
Dátum odovzdania diplomovej práce: 7.5.2009
ŽILINA 2009
Abstrakt
Táto diplomová práca hovorí o návrhu a bezpečnosti počítačových sietí. Práca je
tematicky rozdelená do šiestich kapitol stavaných tak, aby prvých päť podložilo vlastné
analýzy a závery vložené do poslednej šiestej kapitoly. Po konzultácii s vedúcim
diplomovej práce, boli kvôli prehľadnosti a ucelenosti posledné dve časti zo zadania
diplomovej práce zlúčené do poslednej kapitoly, ktorá komplexne rieši problematiku
funkčnosti spolu so zabezpečením počítačových sietí.
V prvej kapitole je popísaný cieľ diplomovej práce. V druhej kapitole sú
spomenuté základné informácie o zásadách návrhu siete. Keďže návrh sietí
a zabezpečenie veľmi blízko spolu súvisia, ďalšie tri kapitoly(3.,4.,5.) sú zamerané na
problematiku zabezpečenia. Konkrétne tretia kapitola hovorí o VPN a jej protokoloch.
Štvrtá kapitola je zameraná na Hacking, pretože keď poznáme typy útokov a spôsoby ich
nasadenia, vieme sa aj patrične voči nim brániť. Piata kapitola hovorí o metódach
samotného zabezpečenia počítačových sietí. Následne všetky tieto poznatky zúročíme
v poslednej kapitole pri realizácii metódy projektovania počítačovej siete a jej následného
zabezpečenia.
Žilinská univerzita v Žiline, Elektrotechnická fakulta
Katedra telekomunikácií a multimédií
ANOTAČNÝ ZÁZNAM – DIPLOMOVÁ PRÁCA
Priezvisko a meno: Perončík Martin akademický rok: 2008/2009
Názov diplomovej práce: Vzorový projekt bezpečnej počítačovej siete s pripojením
vzdialených pracovísk technológiou VPN
Počet strán: 80 Počet obrázkov: 22 Počet tabuliek: 4
Počet grafov: 0 Počet príloh: 0 Použitá literatúra: 28
Anotácia v slovenskom jazyku: Diplomová práca sa zaoberá problematikou návrhu
a zabezpečenia počítačovej siete vo fiktívnej firme s pripojením jej vzdialených pracovísk
technológiou VPN(Virtual Private Network). Práca podáva prehľad o súčasnom stave
v oblasti návrhu a zabezpečenia počítačových sietí, najmä sietí pripojených na
celosvetovú sieť Internet, kde je dominantným prenosovým protokolom TCP/IP.
Následne v poslednej kapitole je uvedený vzorový projekt bezpečnej počítačovej siete
s pripojením vzdialených pracovísk technológiou VPN.
Anotácia v cudzom jazyku: This graduate thesis deals with design and operation of a
computer network connecting fictitious company’s remote workplaces by means of
Virtual Private Network (VPN). The thesis outlines the present state in the field of
computer network design and operation and it focuses particularly on networks connected
to the Internet, where TCP/IP is a dominant transmission protocol. Subsequently, the last
chapter presents the sample model of the safe computer network connecting remote
workplaces by means of VPN technology.
Kľúčové slová (pre predmet. register): VPN, IPSec, SSL, návrh počítačových sietí,
topológia siete, bezpečnosť, hacking, šifrovanie
Vedúci práce: Ing. Stanislav Kuľhavý
Recenzent práce: Ing. Ivan Dolnák, PhD.
Dátum odovzdania práce: 7.5.2009
I
Zoznam obrázkov a tabuliek
Obrázok 2. 1 Základný prehľad rozpoznávania sieťových problémov .............................4
Obrázok 2. 2 Hierarchický návrh siete zložený z troch vrstiev.........................................9
Obrázok 2. 3 Hierarchický model v hviezdicovej topológii............................................10
Obrázok 2. 4 Redundancia v sieti (záložný systém a záložné linky)...............................11
Obrázok 2. 5 Firewallový systém s demilitarizovanou zónou.........................................12
Obrázok 2. 6 Štruktúra a komponenty trojdielneho firewallového systému ...................13
Obrázok 2. 7 Skladba IP adresy.......................................................................................14
Obrázok 3. 1 Princíp VPN...............................................................................................20
Obrázok 3. 2 Princíp PPTP protokolu .............................................................................22
Obrázok 3. 3 Režimy IPSec.............................................................................................25
Obrázok 3. 4 Záhlavie a päta protokolu ESP v datagrame ..............................................25
Obrázok 3. 5 Hlavička ESP .............................................................................................26
Obrázok 3. 6 Záhlavie protokolu AH ..............................................................................27
Obrázok 3. 7 Hlavička AH protokolu..............................................................................27
Obrázok 5. 1 Overenie prístupu prostredníctvom RADIUS servera ...............................40
Obrázok 5. 2 Filtrácia ......................................................................................................47
Obrázok 5. 3 Proxy ..........................................................................................................48
Obrázok 5. 4 Gateway .....................................................................................................48
Obrázok 5. 5 Tunel ..........................................................................................................50
Obrázok 5. 6 Umiestnenie firewallu v lokálnej sieti .......................................................53
Obrázok 6. 1 Návrh logickej topológie fiktívnej firmy ...................................................66
Obrázok 6. 2 Implementácia autentifikačného servera Cisco ACS do siete ...................74
Tabuľka 2. 1 Adresovanie sieťových zariadení...............................................................15
Tabuľka 3. 1 Porovnanie VPN na báze IPSec a SSL ......................................................31
Tabuľka 6. 1 Hardvérová špecifikácia.............................................................................77
Tabuľka 6. 2 Softvérová špecifikácia..............................................................................77
II
Zoznam skratiek
A AAA - Authentication Authorization
and Accounting server
ACL - Access Control List
ACS - Auto Channel Select
AD - Active Directory
ADSL - Asymmetric Digital
Subscriber Line
AES - Advanced Encryption
Standard
AH - Authentication Header
ARP - Address Resolution Protocol
ASA - Adaptive Security Appliance
ATM - Asynchronous Transfer Mode
B BOOTP - Bootstrap Protocol
(nahradený DHCP)
C CA - certifikačné autority
CSA - Cisco Security Agent
CAST - Center for Applied
Special Technology
CD - Collision Detect
CHAP - Challenge Handshake
Authentication Protocol
CPU - Central Processing Unit
CSMA - Carrier Sense Multiple Access
CSU - Chanel Servis Unit
D DC - Domain Controller
DDP - Datagram Delivery Protocol
DHCP - Dynamic Host Configuration
Protocol
DES - Data Encryption Standard
DF - Don´t Fragment bit
DMZ - Demilitarizovaná Zóna
DNS - Domain Name System
DoS - Denial of Service
E EAP - Extensible Authentication
Protocol
EAPOL - Extensible Authentication
Protocol over LANs
ECC - Eliptic Curves Cryptosystems
ESP - Encapsulating Security
Payload
F FDDI - Fiber Distributed Data
Interface
FTP - File Transfer Protocol
FW - Firewall
G GRE - Generic Routing
Encapsulation
H HASH - elektronický odtlačok správy
HIDS - Host Intrusion Detection
System
HIPS - Host Intrusion Prevention
System
III
HMAC - Hash Message Authentication
Code
HSRP - Hot Standby Routing Protocol HTTP - HyperText Transfer
Protocol
HTTPS - nadstavba protokolu HTTP
HW - Hardware
I ICMP - Internet Control Message
Protocol
IDS - Intrusion Detection Systems
IETF - Internet Engineering Task
Force organizácia
IKE - Internet Key Exchange
IOS - Internetwork Operating
System
IP - Internet Protocol
IPS - Intrusion Prevention
Systems
IPSec - Internet Protocol Security
IPX - Internetwork Packet
Exchange
IS - Informačný Systém
ISA - Internet Security and
Acceleration
ISAKMP - Internet Security
Association Key
Management
ISDN - Integrated Services Digital
Network
ISO - International Organization
for Standardization
ISP - Internet Service Provider
IT - Informačné Technológie
L LAN - Local Area Network
LCP - Link Control Protocol
L2F - Layer 2 Forwarding
L2TP - Layer 2 Tunelling Protocol
M MAC - Media Access Control
MAC - Message Authentication
Code
MAN - Metropolitan Area Network
MARS - Monitoring, Analysis, and
Response System
MD5 - Message Digest 5
MOM - Microsoft Operations
Manager
MS - Microsoft
N NAT - Network Address
Translation
O OS - Operačný systém
OSI - Open System
Interconnected
OU - Organizational Unit
OWA - Outlook Web Access
P PC - Personal Computer
PDU - Protocol Data Units
PIN - Personal Identification
Number
PPP - Point-to-Point Protocol
IV
PPP LCP - Point to Point Protocol Link
Control Protocol
PPTP - Point to Point Tunelling
Protocol
Q QoS - Quality of Service
R RADIUS - Remote Access Dial-up
System (protokol)
RAID - Redundand Array of
Independent Disk
RPC - Remote Procedure Call
RSA - Rivest, Shamir, Adelman
(mená autorov)
S SA - Security Association
SAD - Security Association
Database
SDN - Self Defending Network
SFTP - Secure File Transfer
Protocol
SHA-1 - Secure Hash Algorithm
SKIP - Simple Key Management
for Internet Protocols
SMS - Microsoft System
Management
SMTP - Simple Mail Transfer
Protocol
SN - Sequence Number
SNMP - Simple Network
Management Protocol
SP - Security Police
SPD - Security Police Database
SPI - Security Parameters Index
SSH - Secure Shell
SSL - Secure Sockets Layer
STP - Spaning Tree Protocol
T TCP - Transmission Control
Protocol
TELNET - TELecommunication
NETworking
TFTP - Trivial File Transfer
Protocol
TLS - Transport Layer Security
ToS - Type of Service
TTL - Time To Live
U UDP - User Datagram Protocol
V VI - Initialization Vector
VLAN - Virtual Local Area Network
VLSM - Variable Length Subnet
Mask
VoIP - Voice over Internet Protocol
VPDN - Virtual Private Dial
Network
VPN - Virtual Private Network
W WAN - Wide Area Network
WSUS - Windows Server Update
Services
3DES - triple DES
802.1x - Port-Based Network Access
Control
V
Zoznam symbolov
Obsah
Zoznam obrázkov a tabuliek ........................................................................................... I
Zoznam skratiek .............................................................................................................. II
Zoznam symbolov ............................................................................................................ V
Úvod ....................................................................................................................................1 1. Cieľ diplomovej práce ...............................................................................................2 2. Zásady návrhu počítačovej siete...............................................................................3
2.1. Základ sieťového riešenia pre malé a stredné podniky.........................................3 2.2. Pracovný postup návrhu počítačovej siete LAN...................................................4
2.2.1. Analýza projektovej dokumentácie objektu, rozvodov el. energie, ............5 2.2.2. Stanovenie potrieb zákazníka – majiteľa objektu, užívateľov siete LAN... 5 2.2.3. Návrh prenosu dát, topológie siete, dátových rozvodov
siete LAN a WAN v objekte, kabeláže... .....................................................8 2.2.4. Adresný plán ..............................................................................................14 2.2.5. Spracovanie súpisu potrebného materiálu pre realizáciu
navrhnutej siete LAN .................................................................................17 3. VPN (Virtual Private Network) – Virtuálne privátne siete .................................18
3.1. VPN na linkovej vrstve (vrstva dátového spoja – 2. vrstva)...............................21 3.1.1. PPTP (Point to Point Tunelling Protocol)..................................................21 3.1.2. L2F (Layer 2 Forwarding) .........................................................................22 3.1.3. L2TP (Layer 2 Tunelling Protocol) ...........................................................22
3.2. VPN na sieťovej vrstve (3. vrstva)......................................................................23 3.2.1. GRE (Generic Routing Encapsulation)......................................................24 3.2.2. IPSec (Internet Protocol Security) .............................................................24 3.2.3. Security Asociation – SA...........................................................................28
3.3. VPN na výšších vrstvách (transportná - aplikačná vrstva) .................................29 3.3.1. VPN na báze SSL.......................................................................................29 3.3.2. Porovnanie SSL a IPSec ...........................................................................30
4. Hacking .....................................................................................................................32 4.1. Hľadanie stôp......................................................................................................32
4.1.1. Základné kroky hľadania stôp v internete, intranete, extranete. ................33 4.2. Skenovanie..........................................................................................................33
4.2.1. Identifikácia funkčných systémov .............................................................33 4.2.2. Identifikácia prebiehajúcich služieb ..........................................................34 4.2.3. Identifikácia služieb TCP a UDP...............................................................34 4.2.4. Identifikácia operačného systému..............................................................35
4.3. Inventarizácia......................................................................................................36 4.3.1. Inventarizácia banerov ...............................................................................36 4.3.2. Inventarizácia bežných sieťových služieb .................................................37
5. Metódy zabezpečenia počítačovej siete ..................................................................38 5.1. Autorizácia prístupu............................................................................................39
5.1.1. Protokol RADIUS......................................................................................39 5.2. Bezpečný kanál ...................................................................................................40
5.2.1. Kódovanie ..................................................................................................40 5.2.2. Šifrovanie...................................................................................................41 5.2.3. Symetrické šifrovanie ................................................................................41
5.2.4. Asymetrické šifrovanie ..............................................................................42 5.3. Autenticita správ .................................................................................................44
5.3.1. Digitálny podpis.........................................................................................44 5.4. Certifikáty a certifikačné autority .......................................................................45 5.5. Komunikačná bezpečnosť v rámci protokolov TCP/IP ......................................46 5.6. Zabezpečenie intranetu .......................................................................................47
5.6.1. Filtrácia ......................................................................................................47 5.6.2. Proxy a Gateway ........................................................................................48 5.6.3. Skryté siete.................................................................................................49 5.6.4. Wrapper......................................................................................................49 5.6.5. Tunel ..........................................................................................................50 5.6.6. Firewallový systém ....................................................................................50
5.7. IDS/IPS ...............................................................................................................53 5.7.1. IDS (Intrusion Detection Systems – systémy pre detekciu útokov) ..........53 5.7.2. IPS (Intrusion Prevention Systems - Systémy prevencie prienikov) .........54
5.8. IEEE 802.1x........................................................................................................55 5.8.1. Obecný postup autentizácie podľa 802.1x .................................................55 5.8.2. Popis funkcie..............................................................................................56
5.9. AD (Active Directory) ........................................................................................56 5.9.1. AD objekty a schéma .................................................................................57 5.9.2. AD komponenty.........................................................................................57 5.9.3. Logická štruktúra Active Directory ...........................................................58 5.9.4. Fyzická štruktúra Active Directory............................................................58
6. Realizácia projektovania počítačovej siete vo fiktívnej firme a jej zabezpečenie.........................................................................................................59 6.1. Súčasný stav........................................................................................................59 6.2. Bezpečnosť informačného systému (IS) Firmy .................................................60
6.2.1. Realizácia základnej funkčnosti a bezpečnosti ..........................................61 6.3. Návrh riešenia .....................................................................................................62 6.4. Návrh logickej topológie IS Firmy Internet........................................................66
6.4.1. Požiadavky na systém................................................................................67 6.4.2. Používateľská časť .....................................................................................70 6.4.3. Dátové centrum..........................................................................................70
6.5. Fyzická topológia................................................................................................71 6.6. Vzdialený prístup ................................................................................................72
6.6.1. Užívateľ s vlastným HW vybavením a Cisco VPN klientom....................72 6.6.2. Užívateľ s vlastným HW vybavením bez Cisco VPN klienta ...................72 6.6.3. Užívateľ bez vlastného HW vybavenia používajúci internetový
prehliadač ...................................................................................................73 6.7. Bezpečnosť na lokálnych portoch.......................................................................73
6.7.1. Overovanie identity na portoch – 802.1x...................................................73 6.7.2. Port security ...............................................................................................75 6.7.3. Porty pre pripojenie tlačiarní .....................................................................76
6.8. Adresný plán .......................................................................................................76 6.9. Navrhované technické prostriedky .....................................................................77 6.10. Zhodnotenie ........................................................................................................77
Záver .................................................................................................................................78 Zoznam použitej literatúry .............................................................................................79
1
Úvod
Počítačové siete sa za posledné roky stali jednou z kľúčových oblastí výpočtovej
techniky. Musia podporovať stále väčšie množstvo protokolov a užívateľov. Preto sa stále
rýchlo rozrastajú a sú čoraz zložitejšie. Siete sa do značnej miery stávajú zložitejšími aj
práve kvôli implementácii bezpečnostných mechanizmov. Takéto veľké rozšírenie
počítačových sietí je dobrým východiskom pre rozvoj informačných technológií
a budovanie informačnej spoločnosti. Rozmach digitalizácie smeruje k vytvoreniu jednej
globálnej siete pre všetky typy koncových zariadení, ktorá bude poskytovať
používateľom všetky typy služieb.
Internetom, ako najväčšou počítačovou sieťou, sa vlastne spojil celý civilizovaný
svet. Stal sa najväčšou zásobárňou informácií vo svete. V súčasnej dobe, kto má
informácie, je krok dopredu a je vo výhode. Takže s dostupnosťou údajov sa vynorila aj
otázka ich bezpečnosti. Základom komunikačnej infraštruktúry vo firmách sa práve preto
stáva virtuálna privátna sieť, ktorá podstatne zvyšuje mieru bezpečnosti prenosu
a poskytuje QoS.
Správny návrh počítačových sietí je veľmi dôležitý, vzhľadom na ich správu,
efektívnu a optimálnu činnosť. Snaha o čo najvyššiu efektivitu a optimálny návrh, sú
kľúčové faktory nevyhnutné pre vytvorenie použiteľnej a finančne ziskovej počítačovej
siete. Pod návrh počítačovej siete spadá výber z veľkého množstva rôznych sieťových
zariadení a ich vzájomné funkčné poprepájanie (potencionálne veľkým množstvom
spôsobov). Kvalita návrhu bezpečnej počítačovej siete teda zásadným spôsobom vplýva
nie len na jej výkonnosť, ale aj celkovú cenu potrebnú na jej zriadenie a prevádzku.
Výsledná počítačová sieť musí okrem spomenutého samozrejme vyhovovať aj
organizačným a bezpečnostným podmienkam, resp. požiadavkám firmy (zákazníka).
Otázka bezpečnosti počítačových sietí je čoraz viacej aktuálna vzhľadom na
budovanie informačnej spoločnosti zameranej nie len na množstvo a komplexnosť
poskytovaných informácií, ale aj na ich dôvernosť a kvalitu.
2
1. Cieľ diplomovej práce
Cieľom diplomovej práce je navrhnúť optimálnu a zároveň bezpečnú počítačovú
sieť fiktívnej firmy s prístupom vzdialených pracovísk pomocou technológie VPN
(Virtual Private Network). Technológia VPN v prostredí fiktívnej firmy má za cieľ
zvýšiť celkovú bezpečnosť, funkčnosť a používateľský komfort pri komunikácii firmy
s jej pobočkami. Práca podáva prehľad o súčasnom stave v oblasti návrhu a zabezpečenia
počítačových sietí. Aj keď sú v tejto práci objasňované niektoré pojmy, od čitateľa sa
predpokladá základná znalosť termínov, prostredia a aplikácií používaných v spojitosti
s počítačovými sieťami a počítačmi všeobecne.
3
2. Zásady návrhu počítačovej siete
2.1. Základ sieťového riešenia pre malé a stredné podniky
Návrh siete realizuje architekt. Drží sa najnovších trendov vo svete internetových
sietí. Základnou požiadavkou v moderných sieťach sú integrované služby súvisiace
s linkovou a sieťovou vrstvou.
Vrstva 2 pracuje v určitom konkrétnom segmente lokálnej siete LAN alebo
rozľahlej siete WAN. Používajú sa prepínače a rozbočovače, ktoré zlepšujú výkonnosť
sieťových aplikácií, pretože ich použitím sa zväčšila šírka pásma a priepustnosť.
Vrstva 3 pracuje medzi rôznymi segmentmi a cez ich hranice. V tejto vrstve
pôsobia protokoly ako IP (Internet Protocol), IPX (Internetwork Packet Exchange)
a AppleTalk DDP (Datagram Delivery Protocol). S pomocou sieťovej vrstvy sa môžu v
prostredí WAN sietí budovať skutočné globálne dátové siete ( napr. Internet postavený na
technológii protokolu IP na 3. vrstve) [10].
Poznámka: prepínanie vrstvy 2 zaisťovali prepínače sietí LAN, zatiaľ čo sieťové
operácie vrstvy 3 boli doménou smerovačov. Dnes sa uvedené dve sieťové
funkcie stále častejšie zlučujú do jednej integrovanej platformy (napr.
prepínač pracujúci aj na 3.vrstve ISO/OSI).
Kedy používať funkcie 2. vrstvy a kedy 3. vrstvy? Závisí to na konkrétnych
problémoch, ktoré potrebujeme u daného zákazníka vyriešiť.
A to sú:
- problémy s médiami
- problémy s protokolmi
- potreba prenosu veľkých objemov záťaže
Základ riešenia sieťových problémov malých a stredných podnikov môžeme
vyjadriť trojuholníkom podľa obrázku 2. 1 (viď. Obrázok 2. 1).
4
Obrázok 2. 1 Základný prehľad rozpoznávania sieťových problémov
Pri návrhu riešenia problémov (pre malé a stredné podniky) daného zákazníka
môžeme postupovať podľa nasledovných pravidiel:
- ak problémy súvisia so súperením o médium, použijeme prepínanie v sieti LAN.
- pokiaľ sieťové problémy súvisia s protokolmi (nadmerné objemy nesmerového
vysielania), použijeme smerovanie.
- ak zákazník potrebuje prenášať veľké objemy záťaže s vysokými nárokmi na šírku
pásma, použijeme prepínanie v sieti Fast Ethernet. Vo WAN sieťach zvážime
prepínanie ATM. V súčasnosti sa na prenos veľkého objemu dát do core/distribučnej
vrstvy používajú takzvané Layer 3 prepínače , ktoré okrem typických funkcií
prepínačov majú aj niektoré funkcie smerovačov (Access Control List, Smerovacie
protokoly).
2.2. Pracovný postup návrhu počítačovej siete LAN
Analýza projektovej dokumentácie objektu, rozvodov el. energie, ....[3]
stanovenie potrieb zákazníka – majiteľa objektu, užívateľov siete LAN, ...[10]
Návrh prenosu dát, topológie siete, dátových rozvodov siete LAN v objekte,
kabeláže...[10]
adresný plán [10]
Spracovanie súpisu potrebného materiálu pre realizáciu navrhnutej siete LAN, ...[3]
5
2.2.1. Analýza projektovej dokumentácie objektu, rozvodov el. energie, ....
Oboznámenie sa s objektom, s funkciou jednotlivých priestorov objektu a to spolu
s možnosťou pripojenia IT zariadení do siete.
Zakreslenie do výkresov polohy výkonných el. zariadení, ich napájanie ako možných
zdrojov elektromagnetického rušenia prenosu dát v sieti LAN.
Výsledkom analýzy projektovej dokumentácie objektu je spracovanie výkresovej
dokumentácie s potrebnými poznámkami.
2.2.2. Stanovenie potrieb zákazníka – majiteľa objektu, užívateľov siete LAN...
Je veľmi dôležité pochopiť ako vôbec firma daného zákazníka funguje a ako je
organizovaná.
Pre zber údajov administratívneho charakteru bude potrebné :
- stanoviť podnikateľské zámery firmy t.j. obchodné ciele na päť rokov dopredu.
Zoznámiť sa s oborom podnikania. Spýtať sa zákazníka, či na návrh siete nebudú
mať vplyv určité obmedzenia finančného charakteru.
- Zistiť podnikovú štruktúru aby sme vedeli ako sieť rozdeliť do častí a kde si
plánovať umiestnenie serverov.
- Zistiť geografické štruktúry: kde sa u klienta nachádzajú najväčšie skupiny
užívateľov a pobočky firmy vo svete. Z uvedenej štruktúry budú vychádzať
potrebné spojenia v sieti WAN medzi pobočkami. Pritom musíme zistiť aké typy
sietí WAN sú k dispozícii v jednotlivých krajinách, za akú cenu a za akých
tarifných a zákonných podmienok.
- Zistiť súčasnú a budúcu skladbu zamestnancov. Položiť klientovi nasledovné
otázky ohľadom personálneho obsadenia firmy:
o Aké skúsenosti s internetovými sieťami majú vlastný zamestnanci
firmy?
o Či s podporou novo navrhnutej internetovej siete plánuje firma
zvýšiť/znížiť počet zamestnancov?
o Či dá firma pri návrhu siete k dispozícii svojho vlastného odborníka,
alebo aspoň zodpovedného zástupcu?
o Či nová navrhnutá sieť ovplyvní nejako pracovnú náplň zamestnancov
6
- Zistenie platných zásad a firemnej politiky. Pri bezproblémovom návrhu siete
nám môžu pomôcť aj poznatky o minulých úspechoch a neúspechoch firmy. Preto
sa zákazníka spýtame:
o Bol niekedy vo firme neúspešne realizovaný návrh novej počítačovej
siete?
o Sú do projektu zapojení ľudia, ktorý nemajú záujem o realizáciu
navrhovaných zmien?
Zber technických podkladov pre novú a už existujúcu počítačovú sieť
Z technických podkladov zistíme aké aplikácie zákazník prevádzkuje v súčasnej dobe
a aké plánuje do budúcna. Ďalej aké používa protokoly, ktoré zariadenia má
v internetovej sieti a či sa v sieti nachádzajú úzke miesta výkonnosti.
Bude potrebné :
- Zistiť prevádzkové aplikácie. Aké sa prevádzkujú teraz a aké zákazník plánuje
do budúcna. Sieťové aplikácie sú kľúčom k spôsobu ich skutočného využívania,
k rozhodnutiu o budúcich používaných protokoloch a k objemu budúcej
prevádzky v sieti. Na týchto aplikáciách závisia tiež potrebné prvky a funkcie
jednotlivých zariadení internetovej siete.
- Analyzovať tok informácií. Treba zisti, kadiaľ v spoločnosti prechádzajú
informácie. Pozrieť sa na dátové toky vo všetkých sieťach firmy. Ak súčasťou
navrhovanej siete sú aj nové aplikácie je potrebné analyzovať aj ich dátové toky.
Na činnosť siete má vplyv typ prenášaných dát, objem prevádzky, a miesto, kde sa
sústredia prevádzka a dáta. Dokumentujeme tiež údaje, ktoré sa doposiaľ vo firme
pohybovali v ručne riadenom „toku“, ale v novej sieti sa už budú šíriť
elektronickou cestou. (napr. prenos dát na diskete, CD alebo DVD z jedného
pracoviska na druhé).
- Zistenie zdieľaných dát napríklad na súborových a databázových serveroch
- Zistenie sieťovej prevádzky a prístupu k sieti. Stanovíme aký objem sieťovej
prevádzky preteká z jedného segmentu siete do druhého. Zistíme, či užívatelia
majú prístup k dátam aj mimo vlastnú spoločnosť, napríklad na Internete.
- Zistenie výkonových charakteristík siete. Zoznámime sa s výkonovými
charakteristikami existujúcej siete. Popíšeme a zdokumentujeme prípadné
problémy siete.
7
Kroky pri charakteristike siete:
- zistenie aplikácií zákazníka
- popis sieťových protokolov
- dokumentácia doterajšej siete zákazníka
- rozpoznanie potenciálnych úzkych miest
- zistenie vecných obmedzení vstupných podkladov pre návrh siete
- charakteristika dostupnosti existujúcej siete
- charakteristika výkonnosti siete
- charakteristika spoľahlivosti existujúcej siete
- zistenie miery využitia siete
- určenie stavu najdôležitejších smerovačov
- zistenie existujúceho systému a nástrojov pre správu siete
- zhrnutie celkového stavu doterajšej siete
Kroky pri zisťovaní nových požiadaviek zákazníka:
- stanovenie vecných obmedzení
- určenie bezpečnostných požiadaviek:
o Zhodnotíme bezpečnostné riziká a zistíme aké silné zabezpečenia
a ktorý typ zabezpečenia bude potrebný
o Stanovíme podmienky pre prístup k dátam z vonkajšej strany
o Stanovíme podmienky pre autentizáciu a autorizáciu vzdialených
pobočiek firmy, mobilných užívateľov a externých pracovníkov (AAA
Server, RADIUS, CA, Active Directory, ...)
o Zistíme požiadavky na autentizáciu ciest, prijatých od prístupových
a iných smerovačov (802.1x, ...)
o Zistíme požiadavky na zabezpečenie hostiteľských systémov (Antivir,
Host, IDS, ...)
- stanovenie požiadaviek pre správu siete
- zistenie aplikačných požiadaviek
- charakteristika sieťovej prevádzky v nových podmienkach
8
- zistenie požiadaviek na výkon siete:
o Doba odozvy (response time)
o Presnosť (accuracy)
o Dostupnosť (availability) alebo aj stredná doba medzi poruchami
o Maximálne využitie siete
o Priepustnosť (throughput)
o Efektivita
o Reakčná doba
2.2.3. Návrh prenosu dát, topológie siete, dátových rozvodov siete LAN a WAN v
objekte, kabeláže...
Na základe analýzy objektu a potrieb užívateľov sa vykoná:
voľba spôsobu prenosu dát v sieti - po drôte alebo bezdrôtovo,
návrh topológie siete LAN,
umiestnenie aktívnych prvkov siete,
umiestnenie rozvodov kabeláže, ...
Výsledok – spracovanie dokumentácie a výkresov pre navrhnutú sieť LAN.
Bližšie sa budeme venovať návrhu topológie siete. Môžeme si vybrať jeden
z troch modelov:
1.) Hierarchický model
Podľa hierarchického modelu môžeme navrhovať internetové siete po
jednotlivých vrstvách. Rozdelenie do vrstiev je veľmi dôležité. Vrstvy, definované
v ISO/OSI zjednodušujú činnosti potrebné pre zaistenie komunikácie medzi dvoma
počítačmi. Hierarchické modely návrhu internetových sietí uľahčujú prácu v internetovej
sieti ako takej; každá z vrstiev sa môže zameriavať na konkrétnu funkciu a môžeme v nej
vybrať tie správne systémy a funkcie.
Výhody:
- úspory nákladov
- ľahko zrozumiteľné
- ľahký ďalší rozvoj siete
- lepšie možnosti izolovania porúch
9
Hierarchický návrh siete
Skladá sa z nasledujúcich vrstiev:
a.) vrstva jadra siete zaisťuje optimálny prenos dát medzi jednotlivými pracoviskami.
Jadro siete je vysokorýchlostná prepínacia chrbticová sieť. Vrstva jadra by mala
spĺňať nasledujúce požiadavky: ponúknuť vysokú spoľahlivosť, obsahovať
redundanciu, zaisťovať odolnosť proti chybám, rýchlo sa prispôsobiť zmenám,
ponúknuť krátku reakčnú dobu, nevykonávať pomalú manipuláciu s paketmi vo
filtrovaní a ďalších procesoch, mať obmedzený a jednotný priemer.
b.) distribučná vrstva siete zaisťuje možnosť pripojenia podľa stanovených zásad.
Oddeľuje prístupovú vrstvu od jadra. Ľubovoľne implementuje nasledovné funkcie:
zásady alebo politiku; zabezpečenie; súhrnné adresy, alebo oblasti; prístup
k oddeleným pracovným skupinám; definícia domén pre nesmerové a všesmerové
vysielanie; prevod médií; vzájomné oddelenie statických a dynamických smerovacích
protokolov.
c.) prístupová vrstva siete ponúka prístup k sieti jednotlivým pracovným skupinám
a užívateľom. V prostredí firemnej siete sú pre prístupovú vrstvu charakteristické
lokálne siete LAN so spoločnou prepínanou šírkou pásma. V prostredí domácich sietí
zisťuje prístupová vrstva funkciu prístupu vzdialeného pracoviska do podnikovej siete
pomocou rôznych technológií siete WAN ako sú ISDN, frame relay alebo prenajaté
linky.
Obrázok 2. 2 Hierarchický návrh siete zložený z troch vrstiev
10
Obrázok 2. 3 Hierarchický model v hviezdicovej topológii
2.) Redundantný model
Pri návrhu topológie siete pre zákazníka, ktorý prevádzkuje dôležité systémy,
služby alebo má v sieti dôležité cesty, je potrebné zvážiť riziko (pravdepodobnosť)
havárie týchto komponentov a podľa potreby navrhnúť vhodnú redundantnú architektúru.
Súčasťou návrhu siete môže byť niektorý z nasledovných typov redundancie:
- redundantná komunikácia pracovných staníc so smerovačmi
- redundancia serverov – zrkadlené súborové servery
- redundancia ciest – cieľom je vyrovnávanie záťaže a minimalizácia doby výpadkov
siete
- redundancia médií – medzi prepínačmi v prepínaných sieťach môžu byť redundantné
(záložné) linky. Minimalizujeme tým dobu výpadku siete a však na druhej strane
môžu takto vznikať nesmerové vysielania, ktoré do nekonečna „krúžia“ po sieti.
Redundantné médiá sa používajú často vo WAN sieťach.
11
Obrázok 2. 4 Redundancia v sieti (záložný systém a záložné linky)
3.) Bezpečný model
Súčasťou návrhu bezpečných sieťových technológií býva často špeciálne ochranné
zariadenie nazývané firewall, ktoré chráni jednu sieť pred inou nedôverihodnou sieťou.
Každý firewall sa v zásade skladá z dvoch mechanizmov: jeden blokuje nežiadúcu
prevádzku a druhý povoľuje platnú neškodnú prevádzku. Firewallový systém môžeme
navrhnúť pomocou smerovačov, ktoré podporujú filtrovanie paketov a opevnený
hostiteľský systém.
Trojdielny firewallový systém sa skladá z troch špecializovaných vrstiev:
a.) izolačná sieť LAN, takzvaná demilitarizovaná zóna, ktorá tvorí akúsi „nárazníkovú“
sieť medzi vnútropodnikovou internetovou sieťou a vonkajším svetom.
Demilitarizovaná zóna (ďalej len DMZ) je oddelená časť vnútornej siete, na ktorú sa
zvyčajne vzťahujú špeciálne filtrovacie pravidlá. Spojenia z lokálnej a vonkajšej siete
sú do DMZ povolené, ale systémy z DMZ môžu zahajovať spojenia len do vonkajšej
siete. Preto v DMZ bývajú oddelené najmä systémy poskytujúce sieťové služby, ktoré
musia byť dostupné z externých sietí. Ak útočník získa kontrolu nad niektorým
systémom v DMZ, nepripojí sa z neho na žiadny systém z lokálnej siete. Takéto
12
rozdelenie siete znamená zníženie ničivého dopadu v prípade úspešného útoku voči
niektorému zo systémov, ktoré poskytujú služby externým systémom. Jediným
terčom pre útočníka ostávajú ostatné systémy v DMZ, ktoré sú ale za bežných
okolností chránené hostovým firewallom. DMZ aktívne zvyšuje bezpečnosť systémov
z lokálnej siete a je osvedčeným prvkom pri budovaní bezpečnostných bariér. DMZ
môže byť realizovaná napríklad pridaním ďalšieho sieťového rozhrania do
firewallového systému (viď. Obrázok 2. 5), alebo správnym sériovým umiestnením
dvoch firewallových systémov. Druhá spomínaná možnosť sa najčastejšie realizuje
tak, že za prvým firewallovým systémom sú umiestnené systémy patriace do DMZ a
až za nimi je zapojený druhý firewallový systém a lokálna sieť [12].
Obrázok 2. 5 Firewallový systém s demilitarizovanou zónou
b.) Smerovač, ktorý vystupuje ako vnútorný paketový filter medzi podnikovou
internetovou sieťou a DMZ
c.) druhý smerovač, ktorý vykonáva funkcie vonkajšieho paketového filtra medzi DMZ
a vonkajšou internetovou sieťou.
13
Obrázok 2. 6 Štruktúra a komponenty trojdielneho firewallového systému
Zaistenie potrebného hardwaru a médií pre sieť LAN
Návrh siete a rozhodovanie medzi prepínaním a smerovaním
Výber prepínačov, smerovačov, prístupových serverov a ostatného hardwaru
Zaistenie sieťových médií – médiá majú určité obmedzenia u jednotlivých typov siete
LAN ( Fast Ethernet ...)
Zaistenie potrebného hardwaru a médií pre sieť WAN
Otázky návrhu siete WAN – bežné technológie: analógové modemy, prenajaté linky,
linky ISDN, siete frame relay, siete X.25, asynchrónne siete ATM
Rozšírenie siete do prostredia WAN
Výber hardwaru pre siete malej a strednej veľkosti
Režimy prepínania smerovačov: procesné, rýchle, autonómne, hardwarové,
optimálne, distribuované, prepínanie typu NetFlow
Výber platformy smerovača – zo súčasnej podoby siete a jej budúcich potrieb, by sme
mali odvodiť aká platforma smerovača zaistí v sieti výkonnosť, kapacitu
a škálovateľnosť požadovanú zákazníkom.
Návrh siete WAN
- hierarchia digitálnych liniek – štandardy prenosu signálu v sieťach WAN
14
- návrh sietí frame relay :
o voľba potvrdenej prenosovej rýchlosti podľa reálneho odhadu prenášaných
objemov prevádzky formovanie prevádzky cez sieť frame relay
o sčítanie všetkých potvrdených prenosových rýchlostí a stanovenie potrebnej
šírky pásma pre jadro siete
o určenie rýchlosti linky a počtu rozhraní pre smerovač jadra siete
o voľba vhodnej platformy smerovača, ktorá bude spĺňať požiadavky
- Formovanie prevádzky cez sieť frame relay – funkcie, ktoré zaisťujú rýchlejšiu
činnosť siete frame relay
2.2.4. Adresný plán
Návrh modelu adresovania a názvov pre sieťovú vrstvu je jedna z najdôležitejších
úloh pri celkovom návrhu internetovej siete. Táto úloha úzko súvisí s výberom vhodného
smerovacieho protokolu.
Adresovanie v protokole IP
IP adresu tvorí 32 bitov. Celá 32 bitová adresa je rozdelená do štyroch skupín po
ôsmych bitoch, ktoré sa zapisujú dekadicky a oddeľujú sa bodkami. Rovnako ako u
všetkých adries sieťovej vrstvy, tak aj tu určitá časť adresy zariadenia reprezentuje sieť
a druhá časť vyjadruje hostiteľské číslo daného zariadenia v sieti. Siete IP sa ďalej dajú
rozdeliť do podsietí.
Obrázok 2. 7 Skladba IP adresy
15
Adresovanie v protokole IP definuje celkom 5 tried IP adries: A, B, C, D a E.
Pre adresovanie sieťových zariadení sú ale k dispozícii len triedy A, B a C, zatiaľ čo
trieda D slúži pre skupiny viacsmerného vysielania a trieda E je vyhradená pre
experimentálne účely.
Triedu IP adresy definuje jej prvý oktet, ako vidíme v tabuľke 2. 1 (viď. Tabuľka
2. 1). Bity, ktoré reprezentujú informáciu o sieti a podsieti, sa v IP adrese označujú ako
prefix, pričom dĺžka tejto informácie (počet bitov) je dĺžka prefixu.
Tabuľka 2. 1 Adresovanie sieťových zariadení
trieda formát
dĺžka
prefixu
bity najvyššieho
rádu
interval
adries
trieda A S.H.H.H 8 bitov 0
1.0.0.0 až
126.0.0.0
trieda B S.S.H.H 16 bitov 10
128.0.0.0 až
191.255.0.0
trieda C S.S.S.H 24 bitov 110
192.0.0.0 až
223.255.255.0
Prefix adresy teda identifikuje blok hostiteľských čísel a používa sa pre
smerovanie do tohto bloku. Adresa 172.16.168.0/21 napríklad znamená, že prefix adresy
tvorí 21 najvýznamnejších (najľavejších) bitov; zápis je tak ekvivaletný adrese
172.16.168.0 s maskou podsiete 255.255.248.0. podľa prefixu určuje smerovač cestu
k vzdialenej (nelokálnej) cieľovej adrese.
V prostredí siete IP sa názvy zariadení zobrazujú alebo mapujú pomocou
protokolu doménovej názvovej služby DNS (Domain Name Servis). Adresy sa dajú
prideľovať tiež dynamicky a to v protokole DHCP.
16
Kroky pri návrhu adresovania sieťovej vrstvy:
o návrh hierarchie adresovania: autonómne systémy – oblasti – siete – podsiete –
koncové stanice. Konkrétna adresácia navrhnutej hierarchie bude závisieť na
použitom protokole sieťovej vrstvy a na smerovacom protokole.
o Návrh súhrnných informácií o ceste – agregácia ciest znamená, že jediná cesta
reprezentuje viac ciest súčasne a to vedie k menším smerovacím tabuľkám.
o Vytvorenie plánu pre distribúciu administratívnej autority pre adresovanie
a prideľovanie názvov v nižších úrovniach hierarchie – pokiaľ má klient napr.
okrem Severnej Ameriky pobočky aj v Európe a Ázii , môžeme v rámci
stanovených firemných zásad rozdeliť podľa týchto geografických oblastí tiež
oprávnenie k definícii názvov zariadení a prideľovanie adries.
o Návrh metódy mapovania geografických miest do sieťových čísel – priradenie
čísel sieti podľa geografickej oblasti pomáha pri agregácii ciest.
o Zostavenie plánu identifikácie špeciálnych sieťových prvkov, ako sú smerovače
a servery, pomocou uzlového identifikátora – s ohľadom na ľahšie hľadanie
problémov majú smerovače a servery vždy pevnú adresu. Všetkým smerovačom
v sieti tak môžeme napríklad pre číslo uzlu v rámci IP adresy stanoviť čísla
z intervalu od 1 do 19, zatiaľ čo všetky servery budú mať číslo uzlu v intervale od
20 do 25.
o Návrh plánu pre konfiguráciu adries užívateľských staníc – adresy užívateľských
staníc by sa mali, pokiaľ je to možné, prideľovať dynamicky (protokol BOOTP
alebo DHCP). Tým sa zjednoduší práca pre sieťového administrátora, napriek
tomu je z bezpečnostného hľadiska lepšie zadávať adresy ručne, alebo aspoň
podmieniť dynamické prideľovanie adries pomocou DHCP na základe MAC
adresy.
o Vytvorenie plánu mapovania privátnych adries do externých adries, ak je to nutné
– vyhradené adresy, ktoré sa možu používať len vo vnútri podnikovej siete.
Nesmú sa používať v prostredí verejného internetu a preto sa musia previesť
(mapovať) na externé adresy, takzvané nesmerovatelné adresy v Internete
(10.x.x.x, 172.16.x.x, 192.168.x.x). Na mapovanie je vhodná prevodná funkcia
NAT (Network Address Translation).
o Návrh schémy pomenovania serverov, smerovačov a užívateľských staníc – firme,
ktorá má pobočky vo svete je vhodné týmto pobočkám prideľovať zmysluplné
(logické) názvy.
17
2.2.5. Spracovanie súpisu potrebného materiálu pre realizáciu navrhnutej siete
LAN
Zoznam a cena potrebného materiálu:
Aktívne prvky – prepínače, smerovače, prístupové body, ...
Pasívne prvky – kabeláž, dátové zásuvky, prepojovacie panely, rozvodné skrinky,...
Pomocný materiál – žľaby, lišty, úchytky, svorky, skrutky, podložky, hmoždinky, ...
Výsledok – predstava o cene za materiál
Výsledok práce projektanta:
Obsah projektovej dokumentácie:
1. Analýza dokumentácie objektu a výkresová dokumentácia s potrebnými
poznámkami.
2. Analýza potrieb zadávateľa - súčasné i budúce potreby užívateľov siete.
3. Návrh siete LAN - výkresová dokumentácia navrhnutej siete LAN.
4. Súpis potrebného materiálu pre realizáciu navrhnutej siete LAN - predstava o cene
za potrebný materiál.
Spracovaný projekt sa poskytne ďalším pracovníkom - technológovi a ekonómovi
projekčnej firmy na spracovanie cenovej ponuky pre zadávateľa práce.
18
3. VPN (Virtual Private Network) – Virtuálne privátne siete
Použitie virtuálnych sietí robí správu uzlov siete flexibilnejšou, pričom sa vo
všeobecnosti premosťujú obmedzenia zavedené ich fyzickým umiestnením, zlepšuje sa
možnosť kontroly, riadenia a tým aj vyššej bezpečnosti siete.
Virtuálne siete delíme na:
Virtuálne lokálne siete – VLAN.
Virtuálne privátne siete – VPN,
Virtuálna lokálna sieť VLAN (Virtual Local Area Network) je špeciálny prípad
VPN (Virtual Private Netvork) vytváraných v prepínaných sieťach pomocou prepínačov
(Switches) a mostov (Bridges) na linkovej úrovni. Je to logická skupina počítačov
tvoriacich samostatnú broadcast doménu. Dovoľuje zgrupovať geograficky separátne
uzly, do virtuálne zviazaných topológií. VLAN môžu byť inštalované v infraštruktúre
jednej budovy, ale tak isto aj vo WAN.
Použitie VLAN by malo pri správnom zadelení užívateľov do jednotlivých
virtuálnych skupín zabezpečiť, že mimo prevádzku skupiny pôjde len 20% prenosov
(obmedzenie všesmerového vysielania). Dodržiava sa pravidlo, že na hraničný smerovač
pôjdu len dáta, ktoré nie je možné dopraviť adresátovi prepínaním [2].
Segmentácia siete do viacerých „broadcast“ domén zvyšuje bezpečnosť
a dovoľuje administrátorovi siete:
- obmedziť počet uzlov vo VLAN,
- zabrániť inému užívateľovi pripojiť sa bez predchádzajúceho prijatia aplikačným
VLAN sieťovým manažmentom (dôležité napríklad na zabránenie IP spoofingu),
- konfigurovať všetky nepoužité porty do implicitnej VLAN, ktorá nemá nijaké práva
voči ostatným VLAN,
- reštrikcie môžu byť založené na adrese uzlu, type protokolu alebo type aplikácie.
19
Hlavným dôvodom vzniku VPN (Virtual Private Network) – Virtuálnych
privátnych sietí je decentralizácia podnikov a nutnosť elektronickej komunikácie
a obchodovania nielen v rámci podniku , ale aj s obchodnými partnermi. Úlohou je nájsť
potrebnú rovnováhu medzi nákladmi na prenos informácií a prístup k podnikovým
údajom a bezpečnosťou, možnosťami manažmentu a funkčnosťou. Sieť musí zahŕňať
hlasové a obrazové služby, čo kladie nároky na kvalitu a náklady siete [1].
VPN sa na trhu objavili počiatkom 90-tych rokov ako konkurencia k službe
prenajatých okruhov, kedy prevádzkovatelia sietí začali ponúkať službu Frame Relay na
pripojenie lokálnych sietí pomocou verejnej rozľahlej siete. Neskôr sa objavili siete na
báze ATM (Asynchronous Transfer Mode), ktoré lepšie spĺňali požiadavky
multimediálnych aplikácií. V poslednej dobe s rozmachom sietí na báze IP (Internet
Protocol) sa pozornosť obracia k VPN, ktoré využívajú verejné siete IP a internet.
V súčasnosti výrobcovia sieťových zariadení (napr. CISCO) ponúkajú multiservisné
platformy integrujúce podporu pre Frame Relay, ATM aj IP.
MAN a WAN siete sú tvorené fyzickým prepojením uzlov. Nad fyzickou
štruktúrou siete sa vytvárajú logické smerovacie štruktúry nezávisle na fyzickej štruktúre
Tieto logické smerovacie štruktúry sa nazývajú virtuálne privátne siete VPN (Virtual
Private Network).
Princípom VPN (Virtual Private Network) je využitie verejnej siete (napr.
Internet) na bezpečné (autentizované, šifrované) a pre používateľa úplne transparentné
prepojenie vzdialených pobočiek, či mobilných používateľov, do podnikovej siete.
Pričom za najväčšie výhody sa pokladá:
- VPN poskytujú vzdialený prístup a prepájanie vzdialených lokálnych sietí s podstatne
nižšími nákladmi (jednoduchšia integrácia do už existujúcich riešení), ktoré sú nutné
na zriaďovanie prenajatých dátových okruhov a telefonický vzdialený prístup.
- Redukcia nákladov spojených s realizáciou sieťových pohybov a zmien (budovanie
jednoúčelových sietí). Aktuálnym trendom je tvorba dynamických sietí (možnosťou
presúvania sa užívateľov, tvorby nových skupín, celosvetová dostupnosť...), na čo je
VPN plne prispôsobená.
20
Obrázok 3. 1 Princíp VPN
Na obrázku 3. 1 (viď. Obrázok 3. 1) je znázornený typický spôsob aplikácie
privátnych virtuálnych sietí VPN. Prostredníctvom technológií VPN sú vytvorené tunely
medzi centrálnou sieťou, lokálnymi sieťami LAN jednotlivých pobočiek a vzdialenými
uzlami PC. Prenos paketov je realizovaný zapuzdrením paketov prepojovaných sietí do
rámcov, respektíve paketov tranzitnej siete (najčastejšie internet). V centrálnej sieti je
obvykle implementovaná serverová časť tunelovacieho protokolu a potrebné
zabezpečenie komunikácie.
21
3.1. VPN na linkovej vrstve (vrstva dátového spoja – 2. vrstva)
prenosový sieťový systém je použitý pre spojenie na fyzickej a linkovej vrstve.
architektúra virtuálnych obvodov:
- neexistuje časová synchronizácia prenosov
- nemusí existovať dedikovaná prenosová cesta
- vysielajúci uzol nemá poznatky o dostupnej prenosovej kapacite virtuálneho
obvodu
- môže dochádzať k preťaženiu siete tvorenej virtuálnymi obvodmi
významnou výhodou VPN je ich flexibilita.
Tunelovanie na linkovej vrstve (zapúzdrené sú celé rámce) - Tunelovacie
protokoly sú kľúčovým prostriedkom vytvárania virtuálnych privátnych sietí.
Zabezpečujú tvorbu tunelov, identifikáciu koncových uzlov a zapuzdrovanie paketov
[15].
3.1.1. PPTP (Point to Point Tunelling Protocol)
Je protokol na zapuzdrovanie PPP rámcov, ich voliteľné šifrovanie a kompresiu.
PPTP používa dva spôsoby inicializácie komunikácie.
a.) V prvom prípade je tunelovanie inicializované klientom s požiadavkou na utajenie
prenášaných dát.
b.) Druhý prípad je tunelovanie vynútené prístupovým serverom, kedy spôsob prenosu
nemôže byť klientom ovplyvnený.
Tunel vytvorený dobrovoľne klientom umožňuje koncovému systému vytvorenie
a konfiguráciu individuálneho tunelu bod – bod s ľubovoľne umiestneným PPTP
serverom bez toho, že by sa prístupový server zúčastnil vytvorenia tohto tunelu. Užívateľ
sa pripojí k prístupovému serveru a tu je spojenie PPP ukončené s komutovaným
prístupom VPDN (Virtual Private Dial Network). Následne potom klient vytvorí PPTP
spojenie s požadovaným PPTP serverom, ktorý je dosiahnuteľný v rámci štandardných
smerovacích informácií a ku ktorému má klient prístupové práva. Model PPTP je čo do
riadenia distribuovaný [2].
22
Obrázok 3. 2 Princíp PPTP protokolu
Tento protokol je založený na princípe modelu klient – server. Jedna zo strán vždy
najprv zostavuje spojenie. Zostavovanie spojenia je realizované pomocou takzvaného
kontrolného dátového spoja, čo je TCP spojenie iniciované klientom smerom k serveru.
Po nadviazaní spojenia je možný medzi klientom a serverom obojsmerný prenos IP
paketov. Tento protokol nedefinuje žiadne zabezpečenie prenášaných dát.
3.1.2. L2F (Layer 2 Forwarding)
Pôvodný protokol firmy Cisco prenášajúci rámce PPP z prístupového servera
vytvoreným tunelom na cieľový server protokolu L2F.
3.1.3. L2TP (Layer 2 Tunelling Protocol)
Predstavuje kombináciu protokolov PPTP a L2F. Klient sa pripojí k prístupovému
serveru VPDN. Na základe konfiguračného profilu klienta, zisťovaného z „police“
servera, prebehne autentizácia klienta. Ak je overenie jeho totožnosti úspešné, je
vytvorený tunel L2TP k prístupovému serveru. Model L2TP je čo do riadenia
centralizovaný.
23
3.2. VPN na sieťovej vrstve (3. vrstva)
Najčastejšie metódy vytvárania VPN na sieťovej vrstve sú:
uzlový model (Peer Model),
prekrývaný model (Overlay Model).
Základom je práca so smerovacími informáciami.
Uzlový model VPN
Je taký, v ktorom sú smerovacie výpočty uskutočňované vždy v každom uzle na
ceste paketu k miestu určenia. Príkladom implementácie uzlového modelu je vytvorenie
VPN s filtrovaním smerovacích informácií. Je založený na jednoduchom princípe
obmedzenia šírenia smerovacích informácií o dosažiteľnosti iných sietí. Smerovač,
zastupujúci skupinu staníc patriacich do VPN, nadväzuje v tomto prípade spojenie pre
odovzdanie smerovacích informácií len s hraničným smerovačom siete poskytovateľa
spojenia a nie so všetkými sieťami. Informácia o dosažiteľnosti vybranej skupiny staníc,
tvoriacich VPN, tak nie je šírená do ostatných sietí nepatriacich do tejto VPN. V rámci
celej VPN je možné použiť jedinečných adries pre celý privátny adresovací priestor,
samozrejme s použitím NAT (Network Address Translation). Pripojenie VPN, napríklad
k Internetu, je nutné riešiť pomocou špecializovaných brán, umožňujúcich zavedenie
bezpečnostných pravidiel pre vonkajšiu komunikáciu –firewall [2].
Prekrývaný model VPN
Je založený na vytváraní priamych spojení na úrovni linkovej a sieťovej vrstvy
medzi dvoma bodmi siete. Táto technika sa využíva pri tunelovaní. K najčastejším
metódam vytvárania virtuálnych sietí v prostredí poskytovateľov IP sietí ISP (Internet
Service Providers) patria:
- Zapuzdrovanie paketov (Encapsulation), kedy sú zapuzdrované kompletné pakety
danej virtuálnej siete do dátovej časti paketov alebo rámcov medziľahlej siete ( IP in
IP),
- Vytváranie logických spojení tzv. tunelov (Tunneling) medzi zariadeniami virtuálnej
siete, ktorými sa prenášajú zapuzdrené pakety,
- Bezpečnostné procedúry zabezpečujúce privátnosť prenášaných dát vo vytvorených
tuneloch prostredníctvom šifrovania dát, autorizácie uzlov a správy kľúčov.
24
Tunelovanie na sieťovej vrstve (zapuzdrované sú IP pakety privátnej siete)
3.2.1. GRE (Generic Routing Encapsulation)
Pôvodne vyvinutý firmou CISCO. Cieľom je umožniť vytváranie tunelov, ktoré
budú umožňovať prenos paketov jedného protokolu cez iný protokol. Nevyžaduje, aby
prenášaným alebo prenosovým protokolom bol IP protokol. Definuje akým spôsobom by
mali byť pakety zabalené a odovzdané transportnému protokolu. Je nezávislý na
transportných protokoloch [15].
GRE je pôvodným protokolom zapuzdrovania a tvorby tunelov v sieti IP.
3.2.2. IPSec (Internet Protocol Security)
Protokol IPsec schválila ako štandard organizácia Internet Engineering Task Force
(IETF) v decembri 1998, ktorý by mal zaručiť interoperabilitu medzi šifrovacími
produktmi rôznych výrobcov. Pôvodne bol vyvíjaný pre IPv6, ale po nasadení do
prevádzky bol implementovaný aj do IPv4 ako nepovinný protokol. Pracuje na sieťovej
vrstve OSI modelu. Dovoľuje ochranu iných protokolov bez zmeny aplikácií (IP, UDP,
TCP, SSL, SSH, TLS...). IPSec chráni IP datagramy pomocou definovania metód
špecifikácie - aký prenos sa má chrániť, ako sa má daný prenos chrániť a komu prenos
posielame. IPSec vie chrániť datagramy medzi počítačmi, medzi bezpečnými bránami v
sieti (smerovače, firewally), alebo medzi počítačmi a bezpečnými bránami [8].
IPsec umožňuje prepojiť dve siete a pritom pracuje v dvoch základných režimoch
ochrany informácií:
a) transportný režim – Zabezpečuje dáta. IP hlavička sa nemení. Má menšie nároky na
šírku pásma. Medzi IP hlavičku a dáta sa pridáva AH (Authentification Header), ak je
požadované aj šifrovanie, pridáva sa ESP (Encaspulating Security Paylod).
b) tunelový mód – IP datagram je zašifrovaný a je vytvorená nová hlavička. V
tomto prípade tak máme dve IP záhlavia (vnútorné IP a vonkajšie IP). Toto síce
spomaľuje proces dekódovania informácie, ale potenciálny útočník tak má k dispozícii
menej informácií, keďže tunelový mód chráni kompletne celý paket. Pred vytvorením
tunelu sa musia určiť parametre spojenia ako šifrovací algoritmus (napr. 3DES),
hashovacie funkcie (MD5, SHA), metódy autentifikácie a doba životnosti kľúčov [5].
25
Paket je plne zapúzdrený
Zapúzdrené sú iba dáta z IP datagramu
Obrázok 3. 3 Režimy IPSec
Základom štandardu IPsec sú dve nezávislé rozšírenia protokolu IP: AH a ESP
ESP (Encapsulating Security Payload)
ESP je protokol, ktorý zabezpečuje šifrovanie, overuje pravosť a integritu dát a
autentifikáciu zdroja dát IP datagramu. Zároveň poskytuje ochranu proti útokom
odozvou. Deje sa tak vložením ESP hlavičky po IP hlavičke, pred dáta ktoré chceme
chrániť, na koniec datagramu pridáme ESP trailer(päta). Poznámka: ESP nezabezpečuje
IP hlavičku ale len dáta. Pretože ESP poskytuje šifrovanie a autentifikáciu zároveň,
obsahuje niekoľko algoritmov, ktoré sú definované v jeho vlastnej SA (Security
Association). Používané algoritmy na šifrovanie dát sú napr. NULL, DES, 3DES, AES,
Blowfish
IP Encapsulating Security Payload (ESP)
IP ESP
záhlavie TCP Dáta
ESP
päta
ESP
autent.
Transportný
režim
IP2 ESP
záhlavie IP1 TCP Dáta
ESP
päta
ESP
autent. Tunel
Obrázok 3. 4 Záhlavie a päta protokolu ESP v datagrame
šifrované
autentifikované
26
Na obrázku 3. 5 (viď. Obrázok 3. 5) je znázornemá hlavička ESP protokolu [6]:
o SPI (Security Parametr Index) - jednoznačne určuje SA (Security
Association), používa sa pri rozbalovaní paketu.
o Sequence number - chráni proti útokom založených na opätovnom prehraní
zachytených dát.
o VI (Initialization Vector) - inicializačný vektor používaný pri šifrovaní.
Zaisťuje, že keď zašifrujeme 2x rovnaké dáta, dostaneme 2 rôzne zašifrované
dáta.
o Pad - dátová vypchávka aby sedeli dĺžky šifrovaných dát. Používa sa blokové
šifrovanie.
o HMAC –96 bitov –ochrana integrity, berú sa do úvahy len dáta a nie IP
hlavičky.
Obrázok 3. 5 Hlavička ESP
AH (Authentication Header)
Slúži na ochranu integrity IP datagramu a overenie pravosti. Pri doručení paketu
ochráneným pomocou AH máme istotu, že paket nebol zmenený (integrity) a pochádza
od dôveryhodného zdroja (authentication). Nie je možné použiť NAT, pretože AH
zabezpečuje aj IP hlavičky. V porovnaní s ESP, AH nešifruje obsah. Avšak ponúka
možnosť ochrany pred takzv. „replay“ útokmi pomocou sekvenčného čísla, ktorého
hodnota sa s každým odoslaným paketom zväčšuje.
27
IP Authentication header (AH)
IP AH
záhlavie TCP Dáta
Transportný
režim
IP2 AH
záhlavie IP1 TCP Dáta Tunel
Obrázok 3. 6 Záhlavie protokolu AH
Na obrázku 3. 7 (viď. Obrázok 3. 7) je znázornemá hlavička AH protokolu: Má dĺžku
24 bajtov.
o NH –odkaz na ďalšiu hlavičku (1 bajt)
o PL –dĺžka užitočnej časti (zabezpečenej –1 bajt)
o Reserved (2 bajty)
o SPI –4 bajty –špecifikuje použité SA
o SN –4 bajty –ochrana proti útokom založených na opätovnom prehraní zachytených
dát
o HMAC –12 bajtov –na ochranu integrity (Iba odosielateľ a prijímateľ pozná tajný
kľúč na prácu s HMAC)
Next header Payload lenght Reserved
SPI - security parameter index
Sequence number
HMAC - hash message authentication code
Obrázok 3. 7 Hlavička AH protokolu
autentifikované
28
3.2.3. Security Asociation – SA
Aby bolo možné zabalenie a rozbalenie paketu s ESP alebo AH je potrebný tajný
kľúč, poznať algoritmus a ďalšie údaje. Tieto informácie sú uložené v SA. Security
Asociation može byť použitá vždy len pre jeden smer (input, output) a pre jeden protokol
AH/ESP, nikdy pre oba zároveň. SA sa vytvára buď dynamicky, alebo manuálne. V
prípade, že sa SA vytvorí manuálne, nie je určený čas jej životnosti; existuje až pokiaľ nie
je manuálne zrušená. Pri dynamickom vytváraní SA je pre každú z nich určená doba
životnosti. Doba životnosti je veľmi dôležitá pri komunikácii v sieti, pretože
neobmedzená doba využitia kľúčov by mohla spôsobiť zneužitie útočníkom, ktorí by sa
chcel dostať k údajom ktoré sa v sieti vymieňajú.
SA sú uložené v centrálnej databáze nazvanej SAD (Security Association
Database). Táto databáza obsahuje:
- zdrojovú a cieľovú IP adresu
- IPSEC protokol (AH/ESP)
- Algoritmus, kľúč
- Security parameter index (SPI) číslo, ktoré jednoznačne identifikuje SA
- IPSec mód (tunel alebo transport)
- Veľkosť posuvného okna
- Životnosť kľúča
SA obsahuje informácie iba o tom ako sieťovú komunikáciu chrániť, nie však
ktorú konkrétne. Táto špecifikácia je obsiahnutá v SP ( security police) a zoznam SP je
združený v SPD (security police database), ktorá je nepriamo prepojená so SAD [6].
Protokoly AH a ESP potrebujú pre svoju činnosť niekoľko SA, kľúč, algoritmus
a ďalšie. Tieto parametre je možné nastaviť manuálne. Ale kľúče a šifrovací algoritmus
musia byť zdieľané medzi článkami vo VPN sieťach a taktiež výmena kľúčov pre
symetrické šifry je kritický problém. Preto bol vynájdený spôsob automatického
generovania kľúčov a ďalších podrobností zaisťujúcich bezpečné spojenie pomocou
Internet Security Association Key Management (ISAKMP), ktorý je implementačne
nezávislý, pretože umožňuje pre výmenu použiť ľubovoľný protokol. ISAKMP
zabezpečuje spojenie od začiatku do konca relácie vrátane výmeny kľúčov pomocou
Internet Key Exchange (IKE) protokolu, ktorý rieši množstvo problémov týkajúcich sa
výmeny kľúčov [6].
29
3.3. VPN na výšších vrstvách (transportná - aplikačná vrstva) 3.3.1. VPN na báze SSL
SSL (Secure Sockets Layer) je kryptografický protokol, poskytujúci možnosť
bezpečnej komunikácie na internete. SSL pracujúci na aplikačnej vrstve, je pre budovanie
VPN slabší z hľadiska bezpečnosti oproti IPSec (nezabezpečuje komplet komunikáciu,
ale len niektoré aplikácie - typu klient-server), ale je menej náročný na implementáciu.
Nepotrebuje nový klientský software, pretože je podporovaný štandartnými webovými
prehliadačmi, a teda nevyžaduje od užívateľa žiadnu inštaláciu. Nepodporuje však všetky
aplikácie: hodí sa pre zabezpečenie webovej komunikácie, elektronickej pošty alebo
zdieľanie súborov. Naproti tomu sa nehodí pre relačne orientované aplikácie.
A však na druhej strane už existuje nová možnosť implementácie SSL VPN, ktorá
umožní sieťovú komunikáciu nie len pre aplikácie klient server. V tomto prípade je ale
potrebné použiť špeciálny software na strane klienta. Ďalšie porovnanie IPSec a SSL pre
budovanie VPN je uvedené nižšie v tabuľke 3. 1 ( viď. Tabuľka 3. 1)
SSL zaisťuje autenticitu odosielateľa, integritu a šifrovanie aplikačných dát pri
ich prenose cez verejnú IP sieť. SSL vyžaduje spoľahlivý transportný protokol a to je
TCP. SSL používa kombináciu šifrovania verejným a súkromným kľúčom: asymetrické
šifrovanie sa používa v počiatočnej fáze pre autentifikáciu a generovanie kľúčov danej
relácie. Súkromný kľúč sa potom využíva na šifrovanie správ.
SSL podporuje obojsmernú autentifikáciu, ale používa sa väčšinou iba
jednosmerne. Je možné využiť mená a heslá (RADIUS), mená a token (RSA SecureID),
alebo digitálne certifikáty X.509. Klient SSL sa spolieha na digitálny certifikát na
vzdialenom serveri, ku ktorému sa chce pripojiť. Útočník môže certifikát sfalšovať.
Útoku sa dá zabrániť dvojstupňovou autentifikáciou so súčasným použitím hesla aj
tokenu [7].
SSL je praktickým riešením bezpečného vzdialeného prístupu tam, kde IPSec nie
je vhodný:
- prostredie s prekladaním adries (NAT, Network Address Translation), čo môže IPSec-
u robiť problémy. IPSec VPN sa môže použiť len ak je podporovaný NAT traversal.
- vlastné autentifikačné metódy. Nový klienti pri pripájaní nepotrebujú nový software,
pretože SSL podporuje väčšina webových prehliadačov. SSL na serveroch vyžadujú
doplnkový software na podporu základnej metódy autentifikácie a na vzájomnú
autentifikáciu formou digitálnych certifikátov.
30
Pri webových aplikáciách ako e-mail a zdieľanie súborov podporovaná úroveň
zabezpečenia SSL postačuje, ale pri vzdialenom prístupe ku kritickým informáciám kde
je bezpečnosť na prvom mieste SSL nemusí stačiť.
3.3.2. Porovnanie SSL a IPSec
SSL podobne ako IPSec umožňuje bezpečnú komunikáciu vzdialeného užívateľa
(aj mobilného) so serverom cez verejnú IP sieť. IPSec sa stará o bezpečný komunikačný
kanál po IP medzi klientom a cieľovým systémom na sieťovej vrstve tak, že vôbec
neobmedzuje podporované aplikácie. Naproti tomu SSL slúži k zabezpečeniu niektorých
aplikácií typu klient-server. Bezpečný klient SSL je implementovaný na základe
prehliadača a všetky aplikácie tak musia byť individuálne podporované SSL. Pre
množstvo podnikov sú práve spomínané aplikácie jediné, ku ktorým budú potrebovať
vzdialení užívatelia prístup.
Úroveň SSL šifrovania sa navrhuje pri komunikácii tak, že sa väčšinou strany
dohodnú na najnižšom možnom stupni, teda na 40-bitovom kľúči. U IPSec je úroveň
šifrovania prednastavená administratívne, takže bežne je možné použiť 128bitový kľúč.
SSL šifruje nad transportnou vrstvou, takže chráni aplikačné dáta. IPSec, s použitím
protokolu ESP, chráni šifrovaním naviac pôvodné záhlavie IP a TCP. IPSec tiež chráni
pred nevyžiadanou analýzou prevádzky, a to SSL nedokáže. SSL nie jechránený ani pred
niektorými útokmi typu DoS (Denial of Service).
Ako SSL tak IPSec podporuje bezpečnostné algoritmy pre zaistenie integrity správ
napr. MD5 alebo SHA1, navyše IPSec podporuje silné šifrovanie typu 3DES alebo AES
(Advanced Encryption Standard).
SSL sa hodí aj pre pripájanie mobilných užívateľov z verejných prístupových sietí
(napr. bezdrôtových LAN, tzv. hot spots), IPsec je vhodný pre pevné pripojenie
vzdialených užívateľov [7].
31
Tabuľka 3. 1 Porovnanie VPN na báze IPSec a SSL
SSL IPSec
aplikácie webové aplikácie, zdielanie súborov a
elektronická pošta
všetky aplikácie TCP/IP
šifrovanie rôzne silné, v závislosti na webovom
prehliadači
konzistentne silné, závisí na
danej implementácii
autentifikácia Rôzne silná (jednosmerná alebo
obojsmerná, s použitím hesiel, tokenu
alebo certifikátov)
silná (obojsmerná, s použitím
tokenu alebo certifikátov)
bezpečnosť
celkovo
stredne silná veľmi silná
32
4. Hacking
Jedným z hlavných cieľov ochrany počítačovej siete je ochrana dát uložených na
systémoch, ktoré sa v nej nachádzajú. Dáta je nutné chrániť pred znehodnotením, ktoré
môže nastať v dôsledku ich úniku, pozmenenia alebo úplnej straty. No spolu s dátami je
nutné chrániť aj samotné systémy vo vnútri siete, pretože môžu byť zneužité. Zneužiť ich
môžu napríklad nespokojní súčasní i bývalí zamestnanci, konkurenti a samozrejme aj
počítačoví experti (Hackeri) špecializujúci sa na túto činnosť. Podobne ako v iných
oblastiach aj v počítačovej bezpečnosti platí, že prevencia je lepšia než následná náprava
škôd. Bohužiaľ častá chyba, ktorej sa mnohé organizácie pri správe počítačových sietí
dopúšťajú sú chybne stanovené priority a s tým súvisiace následné nedostatočné
prostriedky na rozvoj a skvalitnenie (zabezpečenie) siete. Je to spôsobené najmä pasivitou
a nedbalosťou správcov siete, ktorých povinnosťou by malo byť informovať vedenie
o bezpečnostných rizikách a vypracovať sieťovú bezpečnostnú politiku organizácie. Je
málo takých, ktorí skutočne rozumejú bezpečnosti a vedia ako sa s týmto problémom
vyrovnať. Ako sme už spomínali na druhej strane stoja hackeri, ktorí majú naopak plno
vedomostí o zraniteľných miestach a možnostiach ich využitia.
Skôr ako začne hacker s útokom na nejakú sieť musí absolvovať tri základné body
hackingu:
- Hľadanie stôp
- Skenovanie
- Inventarizácia
4.1. Hľadanie stôp Predstavuje získavanie informácií o prítomnosti organizácie v Internete. Pomocou
kombinácie utilít, techník a verejne prístupných databáz môže útočník získať konkrétne
informácie o doménových menách, pridelených IP adresách a o adresách zariadení
pripojených priamo do Internetu. Najčastejšie sa používajú techniky zamerané na
získavanie informácií o prítomnosti v Internete, o intranete, o vzdialených prístupoch do
vnútornej siete a o extranete. Hľadanie stôp je najnamáhavejšou, ale zároveň
najdôležitejšou časťou samotného prieniku [9].
33
4.1.1. Základné kroky hľadania stôp v internete, intranete, extranete.
Krok 1. určenie sféry záujmov – určiť štruktúru celej organizácie môže byť veľmi
zložité, ale v mnohých prípadoch stačí aktivitu sústrediť na jednu pobočku organizácie
s konkrétnymi požadovanými informáciami.
Krok 2. mapovanie siete – identifikácia domén a odpovedajúcich sieťových adries
príslušnej organizácie. Mená domén, organizácií a sietí sú uvedené v takzvaných „whois“
databázach.
Krok 3. skúmanie DNS – po zistení mien všetkých domén, ktoré má organizácia
zaregistrované, sa začínajú skúmať informácie uložené v DNS. DNS je distribuovaná
databáza, ktorá prekladá mená počítačov na ich IP adresy a naopak. Ak je databáza DNS
chybne nakonfigurovaná, tak sa dajú jednoduchým postupom získať užitočné informácie
o sieti organizácie. Jednou z najväčších chýb pri konfigurácii DNS je povolenie prenosu
zóny na ľubovoľný počítač v internete. Treba obmedziť prenosy zón len na autorizované
servery.
Krok 4. prieskum siete – pokiaľ máme k dispozícii adresy siete organizácie, môžeme
určiť jej sieťovú topológiu a potenciálne prístupové cesty do siete. Na tento účel
použijem program Traceroute.
4.2. Skenovanie Skenovanie môžeme prirovnať k búchaniu do stien, za účelom objavenia okien
a dverí. Teda skenovaním sa snažíme zistiť, na ktorých IP adresách sa nachádzajú
funkčné systémy dostupné z Internetu, pomocou rôznych utilít a postupov ako je ping,
skenovanie portov a automatizované lokalizovanie serverov [9].
4.2.1. Identifikácia funkčných systémov
Jedným zo základných krokov mapovania siete je automatický hromadný ping.
Hodí sa k použitiu v malých a stredných sieťach. Existuje veľké množstvo utilít, ktoré
umožňujú hromadný ping, napr. Fping, Pinger... Ďalšou metódou k získavaniu informácií
o systéme je použitie (zneužitie) protokolu ICMP. Dokážeme získať aktuálny čas
systému, masku sieťového rozhrania, ktorej poznanie má veľkú hodnotu, pretože
umožňuje zistiť ako sú v podniku definované podsiete. Ochranou proti tejto metóde je
teda nutné protokol ICMP obmedziť len na nevyhnutné použitie.
34
4.2.2. Identifikácia prebiehajúcich služieb
Skenovanie portov je proces, kedy sa hacker pripája k TCP a UDP portom
systému s cieľom identifikovať prebiehajúce služby. Táto identifikácia mu pomôže zistiť
typ operačného systému počítača a typ bežiacich aplikácií. Pokiaľ sú bežiace aplikácie
nesprávne nakonfigurované je možné ich využiť k prieniku do systému. K detekcii skenu
používame IDS.
Hlavnými cieľmi, ktoré chceme skenovaním portov dosiahnúť sú:
- identifikácia TCP a UDP služieb na cieľovom systéme
- identifikácia typu operačného systému na cieľovom zariadení
- identifikácia konkrétnych aplikácií ich verzií.
Poznáme rôzne typy skenov: TCP spojenie, TCP SYN sken, TCP FIN sken, TCP
XmasTree sken, TCP Null sken, TCP Ack sken, TCP Windows sken, TCP RPC sken,
UDP sken.
4.2.3. Identifikácia služieb TCP a UDP
Výber správneho skeneru portov je dôležitý.
Časom overené a najčastejšie používané skenery pre Unix:
- Strobe je skener TCP portov, rýchly a spoľahlivý
- udp_scan utilita pochádzajúca z progranu SATAN. Skenuje UDP porty.
- netcat utilita umožňuje analýzu portov TCP aj UDP (implicitne TCP)
- NMAP program umožňuje TCP a UDP skenovanie a ďalšie metódy
najčastejšie používané skenery na platforme Windows:
- NetScanTools Pro 2000 obsahuje hádam všetky sieťové utility integrované do
jedného užívateľského rozhrania. Napr. hromadné pingy, skenovanie jemného
priestoru NetBIOSu, SNMP testy... Umožňuje ľahkú špecifikáciu cieľového
počítača a portov. Je dostatočne rýchly.
- SuperScan univerzálny a rýchly TCP port skener. Umožňuje pružnú špecifikáciu
cieľových IP adries a portov.
- WinScan skener TCP portov. Má grafickú a značkovú verziu. Dokáže ľahko
skenovať siete triedy C a výstup je dobre spracovateľný.
35
- ipEye utilita skenuje ako NMAP pomocou príkazového riadku. Je schopná
skenovať len jeden počítač.
- WUPS skener UDP portov. Je spoľahlivý relatívne rýchly. V daný moment je
schopný skenovať len jeden počítač.
- ScanLine je schopný realizovať TCP aj UDP sken súčasne. Je rýchly a robustný.
Skenuje veľké rozsahy adries.
4.2.4. Identifikácia operačného systému
Cieľom je zistiť typ operačného systému počítača, ktorý sa skenuje.
Aktívna identifikácia operačného systému (OS)
Pre útočníka je životne dôležité určiť typ operačného systému, ktorý je na
cieľovom počítači. S touto informáciou môže zrealizovať presne cielený útok a využiť
pritom množstvo údajov o chybách a aplikáciách konkrétneho operačného systému. Na
zistenie typu OS a verzie služby hacker môže použiť metódu založenú na získaní stôp
TCP/IP implementácie alebo programy NMAP a QUESO. Implementácie protokolov
TCP/IP sa v mnoho detailoch líšia pri jednotlivých OS. Pokiaľ sa útočník zameria na tieto
rozdiely je schopný rozlíšiť jednotlivé implementácie a tým aj jednotlivé OS. Aby bola
zaručená maximálna spoľahlivosť, vyžaduje táto metóda na cieľovom počítači aspoň
jeden otvorený port.
Pri rozlíšení jedného OS systému od druhého je možné použiť tieto typy testov:
FIN test, test s neexistujúcim príznakom, vzorkovanie ISN (Initial Sequence Number),
monitorovanie bitov „nefragmentovať“, počiatočná veľkosť TCP okna, hodnota ACK,
redukovanie počtu ICMP správ, analýza ICMP správ, integrita ICMP správ, typ služby
(ToS-Type of Service), spôsob spracovania fragmentov, rozšírené položky TCP záhlavia.
Pasívna identifikácia OS
Pri aktívnej identifikácii OS sa nemôže hovoriť o neviditeľnej a nedetekovateľnej
technike. Pokiaľ chce útočník zostať neodhalený, musí použiť metódu pasívneho
získavania stôp TCP/IP implementácie. Nedetekuje žiadne testovacie pakety , ale len
pasívne monitoruje toky dát v sieti. Monitorovaním komunikácie medzi dvoma sieťovými
zariadeniami môže identifikovať použité operačné systémy. K pasívnej identifikácii OS je
vhodný nástroj siphon.
36
Pri pasívnej identifikácii OS hacker používa atribúty príznakov súvisiace s TCP/IP:
- TTL; akú hodnotu priraďuje OS poľu TTL v odchádzajúcich paketoch?
- Veľkosť okna; akú nastavuje veľkosť TCP okna?
- DF (Don´t Fragment bit); nastavuje OS bit „nefragmentuj“?
Pasívnou analýzou týchto atribútov a ich porovnaním s databázou OS hacker
identifikuje cieľový OS. Kombináciou atribútov získava uspokojivé výsledky.
Existuje ešte veľa iných utilít, ktoré napomáhajú prieskumu sietí. Najznámejšie
z nich sú grafická utilita Cheops a program TKINED, ktoré patria pod automatizované
utility.
4.3. Inventarizácia
Ako náhle získa útočník prehľad o bežiacich počítačoch a službách aké poskytujú
počítače, nasleduje hlbší prieskum zistených služieb. Tento proces pátrania po známych
slabinách sa nazýva inventarizáciou. Jedná sa tu o aktívne nadviazanie spojenia
a generovanie presne smerovaných dotazov, ktoré môžu byť monitorované alebo
logované [9].
4.3.1. Inventarizácia banerov
Je naviazanie spojenia so vzdialenou aplikáciou a sledovanie výstupu, ktorý môže
byť bohatý na informácie. Najlepšou obranou proti inventarizácii banerov je zastaviť
všetky nepoužívané služby, alebo obmedziť prístup k službám na sieti.
Nástroje používané pre inventarizáciu banerov:
- telnet je nástroj na vzdialenú komunikáciu po sieti zabudovaný do väčšiny
operačných systémov.
- Netcat je program, ktorý by nemal chýbať vo výbave žiadneho administrátora. Jeho
použitie nepriateľom môže byť zničujúce.
37
4.3.2. Inventarizácia bežných sieťových služieb
Inventarizácia SMTP, TCP port 25 - spočíva vo využití SMTP (Simple Mail
Transfer Protocol – jednoduchý protokol pre prenos elektronickej pošty) príkazov
VRFY a EXPN. VRFY slúži k verifikácii poštových adries, ale aj lokálnych
užívateľov a EXPN vypíše skutočné cieľové adresy aliasov. Obranou proti SMTP
inventarizácii je možnosť zakázať na poštovom servery tieto príkazy a v prípade ich
použitia vyžadovať autentizáciu.
Prenosy DNS zón, TCP port 53 - sa spúšťa na zle nakonfigurovaných DNS
serveroch. Pri prenose zóny dôjde k odoslaniu celého obsahu zónového súboru pre
danú doménu, takže sú k dispozícii informácie o prekladaní mien na IP adresy aj dáta
HINFO. Riešením tohto problému je povolenie prenosu zóny iba oprávneným
staniciam.
Inventarizácia TFTP, TCP/UDP port 69 – súvisí s protokolom TFTP (Trivial File
Transfer Protocol – jednoduchý protokol na prenos súborov), ktorý beží typicky na
UDP porte 69. dokážeme získať slabo zabezpečené súbory. TFTP je nezabezpečený
protokol a preto kvôli bezpečnosti sa odporúča vypnúť.
Finger, TCP/UDP port 79 – utilita k zverejňovaniu informácií o užívateľoch.
Nebezpečná je najmä informácia o prihlásených užívateľoch a doba, počas ktorej boli
aktívni. Obranou je vypnúť finger a zblokovať port 79.
Inventarizácia HTTP, TCP port 80 – inventarizácia typu a stavby webového
serveru je jedna z najľahších techník a taktiež sa útočníkovi najviac vyplatí. Tomuto
druhu aktivity sa najlepšie ubránime zmenou banneru nášho webového servera.
Inventarizácia Microsoft RPC, TCP port 135 – na niektorých staniciach Windows
beží na TCP porte 135 služba mapovania koncových bodov RPC (Remote Procedure
Call). Dotazy na túto službu môžu odhaliť informácie o aplikáciách a službách
dostupných na cieľovom počítači. Obranou je obmedziť prístup k TCP portu 135.
38
5. Metódy zabezpečenia počítačovej siete
Bezpečnosť informačných systémov je jednou z najkritickejších oblastí, pretože
neoprávnený prístup k informáciám a ich prípadné zneužitie môže mať nedozerné
následky nie len pre vlastný informačný systém, ale tiež pre samotných používateľov a
celú spoločnosť. Na jednej strane je potrebné, aby používatelia mali prístup k údajom,
ktoré potrebujú, na strane druhej, pružný prístup používateľov môže byť pre ochranu dát
veľmi riskantný [2].
Pre účely hodnotenia bezpečnosti informačných systémov boli vypracované
európske kritéria ITSEC, ktoré zahŕňajú všetky úrovne zabezpečenia informačného
systému:
fyzická (PHYSEC) úroveň,
komunikačná (COMSEC) úroveň,
počítačová (COMPUSEC) úroveň,
personálna (PERSEC) úroveň,
informačná (INFOSEC) úroveň.
Pri stanovení základných kritérií zaistenia bezpečnosti rozlišujeme:
dôvernosť informácií, t.j. že sú dostupné len oprávneným osobám,
integritu informácii, t.j. že neboli modifikované alebo odoslané neoprávnenou
osobou,
dostupnosť informácií predstavuje zaručenie prístupu k nim v definovanom čase.
Počítačové siete predstavujú neoddeliteľný komunikačný systém informačného
systému. Sú pritom jedným z kľúčových prvkov bezpečnosti zabraňujúcim prieniky do
informačných systémov. Za účelom zabezpečenia ochrany boli vypracované nasledujúce
metódy zabezpečenia:
autorizácia prístupu,
bezpečný kanál (šifrovanie dát),
autenticita správ (elektronický podpis),
certifikačné autority.
39
5.1. Autorizácia prístupu
Je základnou procedúrou zabezpečenia sieťovej infraštruktúry a informačných
zdrojov. Využíva overenie prístupových práv používateľa a nastavenie filtra jeho práv v
sieti. Autorizácia sa obyčajne používa pri vzdialenom prístupe do podnikových sietí, pri
prístupe k informačným zdrojom a k výmene kryptografických dát potrebných k
vytvoreniu bezpečného kanála. Používateľ vykonáva autorizáciu pomocou pridelených
identifikačných dát, ktorými sú obyčajne pridelené meno, heslo, identifikačné dáta a
iných pomocných protokolov (napr. PAP, CHAP v rámci PPP), poprípade jednorázové
heslo. V prostredí TCP/IP sa pre tento účel (komunikačná bezpečnosť) používa protokol
RADIUS.
5.1.1. Protokol RADIUS (Remote Access Dial-up System)
Bol pôvodne určený k overovaniu vzdialeného prístupu používateľov do siete
Internet. Protokol pracuje v režime klient-server s využívaním datagramového režimu
prenosu protokolom UDP (viď. Obrázok 5. 1). Klientom protokolu je vždy uzol
požadujúci overenie identifikačných dát (napr. prístupový smerovač). RADIUS server je
autorizačný uzol overujúci prístup. Protokol podporuje centralizovanú správu
autorizačných dát, zreťazenie viacerých RADIUS serverov, voliteľný výber typu
autorizácie (jednorázovým heslom, menom a heslom) a vytváranie kontrolných
záznamov o prístupe do siete (Audit Logs). V prípade požiadavky používateľa na
autorizáciu, prístupový smerovač (klient) pošle požiadavku (Access Request) na vhodný
RADIUS server. Server overí autorizačné dáta používateľa a povolí prístup do siete
(Access Accepted).
40
Obrázok 5. 1 Overenie prístupu prostredníctvom RADIUS servera
5.2. Bezpečný kanál
Pod slovom bezpečný kanál rozumieme v sieťovom prostredí takú formu prenosu
dát medzi koncovými uzlami siete, pri ktorej sú prenášané dáta dostatočne chránené pred
neoprávnenou manipuláciou a zneužitím informačného obsahu. V prípade
komunikačných systémov a počítačových sietí sú bezpečné kanály vytvárané kódovaním
prenášaných dát pomocou kryptografických metód.
5.2.1. Kódovanie
Predstavuje transformáciu pôvodných dát (M) do formátu C(M), ktorý už nie je
priamo čitateľný inými uzlami, a je tak chránený pred neoprávneným zneužitím.
Kódovaním rozumieme jednoznačné zobrazenie pôvodnej abecedy do novej abecedy,
ktorou sú dáta zakódované. Znalosť kódu (C) pritom umožní získať zo zakódovaných dát
pôvodné dáta. Tento proces sa volá dekódovanie.
41
5.2.2. Šifrovanie
Je parametrizovateľná premenná forma kódovania, pri ktorej je dopredu
definovaný parameter, tzv. kľúč (K), ktorý určuje spolu s kódovaním výsledný formát
dát: C(M)=(M)x(K)
Na rozlúštenie šifrovaných dát už nestačí len znalosť samotného kódu, ale tiež
znalosť použitého kľúča. Pomocou kľúča je možné ovplyvňovať stupeň bezpečnosti.
Jedným z určujúcich atribútov bezpečnosti je pri algoritme kódovania priamo dĺžka
kľúča. Vzhľadom k bezpečnosti kľúča je dôležitý spôsob distribúcie kľúčov. Rozlišujeme
tzv. verejné a súkromné kľúče. Súkromné kľúče sú distribuované tzv. tajným kanálom
(iné médium) a pre verejné kľúče sa používajú tzv. certifikačné autority (CA). Úlohou
CA je byť dôveryhodnou treťou stranou, ktorá vydáva certifikáty. Jednotliví účastníci
komunikácie potom žiadajú CA o vystavenie certifikátu. CA následne overí skutočnú
identitu žiadateľa a tiež či verejný kľúč, ktorý bol do CA zaslaný je skutočne kľúč, ktorý
chce účastník certifikovať. CA sa drží svojej vlastnej certifikačnej politiky a po splnení
všetkých podmienok vydá žiadateľovi jeho certifikát. Keď účastník obdrží certifikát môže
ho použiť na komunikáciu so svojimi partnermi [2].
5.2.3. Symetrické šifrovanie
Používajú jeden a ten istý tajný šifrovací kľúč pre proces šifrovania i dešifrovania.
Ak chcú odosielateľ a príjemca bezpečne komunikovať medzi sebou pomocou
symetrického šifrovania, tak si musia dohodnúť rovnaký kľúč a musia ho držať v tajnosti.
Ak sú na rozličných fyzických miestach, tak musia mať spoľahlivého kuriéra (tajný
kanál) alebo iné zabezpečené komunikačné médium (fax, pošta), aby nedošlo
k prezradeniu tajného kľúča počas jeho distribúcie.
Výhodou je, že symetrické algoritmy sú oproti asymetrickým omnoho rýchlejšie,
a preto často bývajú použité v spoločnej kombinácii s asymetrickými. Šifrovacie
algoritmy, ktoré používajú oba druhy šifrovania nazývame hybridné. Typickými
predstaviteľmi symetrického druhu šifrovania sú [8]:
DES – Kryptografický štandard (Data Encryption Standard) vyvinutý firmou IBM
v sedemdesiatich rokoch. Dnes sa DES už nepovažuje za perspektívny algoritmus,
pretože bol prevedený pokus, kedy rozbitie DES šifry trvalo niekoľkým tisícom
počítačov zopár mesiacov, dedikovanému zariadeniu na „lámanie“ šifier dokonca
42
zopár dní. Dĺžka kľúča je 56 bitov. DES vo svojej pôvodnej forme sa dnes už
v podstate nepoužíva.
3DES (triple DES) – Zosilnenie DES štandardu tým, že šifrované dáta sú jednoducho
prešifrované trikrát, prvou alebo druhou časťou kľúča. Preto tento algoritmus používa
v základnej variante dvojnásobne dlhý kľúč, t.j. 112 bitov. Algoritmus má zníženú
rýchlosť na 1/3 oproti DES, pri použití 168 bitového kľúča. Napriek intenzívnemu
výskumu, sa nepodarilo nájsť vážnu chybu na tomto algoritme. Avšak vo sfére
bankovníctva sa požívanie DES a 3DES neodporúča.
IDEA – Veľmi perspektívny algoritmus, s dostatočne dlhým (128 bitov) kľúčom,
pričom rýchlosť(ako aj bezpečnosť) je tu podstatne vyššia než u DES. IDEA je
patentovaná vo väčšine zemí, a majiteľom patentu je firma Ascom-Tech. Rôzne
skupiny kryptológov sa snažia nájsť slabinu tohto algoritmu, ale zatiaľ neboli úspešní.
BlowFish – Moderný algoritmus, ktorý je prístupný voľne k použitiu a má aj
dostatočnú rýchlosť. Kľúč má premennú dĺžku od 32 do 448 bitov, ale v jednotlivých
systémoch býva implementovaný s konkrétnou dĺžkou 128 bitov. Veľmi podobný
algoritmu BlowFish je novší algoritmus CAST.
Možno povedať, že bezpečnosť symetrických šifrovacích algoritmov s dĺžkou
kľúča 128 bitov je postačujúca, omnoho viac problémov býva s bezpečným uložením
šifrovacích kľúčov, ich správnym generovaním a pod.
5.2.4. Asymetrické šifrovanie
Pre proces šifrovania a dešifrovania sa využíva kľúčový pár, ktorý tvorí verejná a
súkromná časť šifrovacieho kľúča. Verejnú časť vlastnia všetci tí, ktorí chcú s nami
komunikovať šifrovane, a tak týmto kľúčom šifrujú dáta, ktoré nám posielajú. Ak aj dáta
niekto odchytí počas cesty k nám, nemôže ich rozšifrovať lebo súkromný kľúč, ktorý
k tomuto používame máme iba mi a nikto iný. Keďže asymetrické šifrovacie algoritmy sú
pomalé, v praxi sa posielajú správy kódované symetrickým kľúčom, pričom tento je však
posielaný pred správou zašifrovaný verejným kľúčom príjemcu.
43
Medzi najznámejšie asymetrické algoritmy patrí:
RSA (Rivest Shamir Adelman, mená autorov) – algoritmus pre výmenu kľúčov
a tvorbu elektronického podpisu. Vychádza z toho, že je obtiažne rozložiť veľké čísla
(pričom každé z nich je súčinom dvoch prvočísiel), závisí teda na možnostiach
riešiť úlohu faktorizácie. V súčasnosti sa kľúče o dĺžke 768 bitov ešte považujú za
bezpečné, ale s rozvojom možností výpočtovej techniky sa im nedáva dlhá životnosť.
Ak nebude dosiahnuté výrazných úspechov v riešení úlohy faktorizácie, kľúče o dĺžke
1024 bitov budú bezpečné. O kľúči 2048 bitov sa predpokladá, že bude postačovať
niekoľko desaťročí. RSA je najbežnejšie používaný algoritmus pre generovanie
kľúčového páru.
Eliptické kryptosystémy (ECC – Eliptic Curves Cryptosystems) – sú moderné
perspektívne šifrovacie algoritmy založené na riešení úloh diskrétneho logaritmu
v grupách na eliptických krivkách. Ich použitie je vhodné kvôli väčšej výpočtovej
efektívnosti, ktorá je daná malou dĺžkou kľúča, ktorý zároveň vedie ku kratším
certifikátom. Kľúče o dĺžke 160 – 180 bitov dosiahnu rovnakú úroveň bezpečnosti
ako RSA s kľúčom o dĺžke 2048 bitov.
Diffie - Hellman – nie je ani tak šifrovací algoritmus, ako protokol umožňujúci
bezpečnú výmenu kľúčov pre symetrické šifrovacie algoritmy. Protokol neobsahuje
žiadnu metódu umožňujúcu podpis zaslanej správy, ani nie je možné previesť
autentifikáciu – potvrdiť, že daný kľúč skutočne pochádza od daného užívateľa.
Protokol vychádza z predpokladu, že každá entita na sieti má k dispozícii
autentifikovaný Diffie-Hellmanov verejný kľúč inej entity a schopnosť, na základe
tohto kľúča a vlastného privátneho kľúča, skonštruovať takzvaný zdieľaný kľúč
(heslo, spoločné tajomstvo).
44
5.3. Autenticita správ Je to požiadavka potvrdenia, že správa skutočne pochádza od daného používateľa
a nebola odoslaná iným používateľom. K overeniu identity používateľa odosielajúceho
správu sa preto zaviedla metóda autenticity správ pomocou digitálneho podpisu [2].
5.3.1. Digitálny podpis
Keďže verejné kľúče sú voľne k dispozícii, je možné, že nejaká osoba nám bude
posielať správy šifrované naším verejným kľúčom, a pritom sa podpisovať
(autentifikovať) ako niekto iný. Tento problém autentifikácie rieši digitálny podpis.
Ide o to, že posielané správy odosielateľ nielen šifruje príjemcovým verejným
kľúčom, ale zároveň priloží kontrolný „hash“ súčet zasielanej správy, ktorý zašifruje
svojím verejným kľúčom (ten vlastní skutočne len on). Príjemca si najskôr overí
doručený kontrolný „hash“ súčet správy (kontrolný súčet rozšifruje odosielateľovým
verejným kľúčom), ktorý porovná s kontrolným súčtom, ktorý práve vygeneroval nad
prijatým dokumentom. Ak obe hodnoty súhlasia, je to v poriadku, pretože kontrolný súčet
mohla zašifrovať súkromným kľúčom, skutočne len tá osoba, ktorej verejným kľúčom
sme „hash” súčet zase dešifrovali [8].
V skratke digitálny podpis v zrovnaní s klasickým prináša výhody ako:
nie je ho v podstate možné falšovať, je jednoduché overiť jeho pravosť,
zaručuje neporušenosť (integritu) prenášanej správy a vlastne aj nepopierateľnosť
(teda nie je možné tvrdiť, že správu podpísanú mojím digitálnym podpisom som
neodoslal ja). Táto vlastnosť je využívaná napríklad v elektronickom obchodovaní,
kedy druhá strana nemôže poprieť, že objednávku skutočne odoslala a pod.
V digitálnom podpise sa používajú dve funkcie HASH a MAC:
a) HASH (elektronický odtlačok správy) je jednocestný algoritmus s transformáciou
odosielanej správy na kratšie správy s pevným počtom prvkov. Platí pritom
jednoznačnosť, že danej správe prísluší len jeden HASH. K najznámejším algoritmom
patrí MD5 (Message Diggest) a SHA-1 (Secure Hash Algorithm). Správa M je
rozdelená na n blokov s konštantnou dĺžkou, ktoré sú vstupom jednocestnej funkcie
spolu s predchádzajúcou hodnotou HASH funkcie. Úvodná hodnota HASH funkcie je
inicializačný vektor. Posledný n-tý cyklus vygeneruje požadovanú výslednú hodnotu
HASH.
45
b) MAC (Message Authentication Code) je metóda vychádzajúca z podobných
princípov ako HASH. Rozdiel je v použití kľúčov. Zo správy sa najprv vypočíta
HASH, ktorý sa zašifruje napríklad metódou RSA súkromným kľúčom odosielateľa,
čím vznikne digitálny podpis MAC. Príjemca môže vypočítať z prijatej správy
HASH. Pomocou verejného kľúča môže tiež určiť použitý HASH z digitálneho
podpisu MAC. Pri zhode oboch HASH je správa autentická.
Poznámka: Len jeden môže šifrovať HASH správy na MAC súkromným kľúčom, ale
mnohí môžu dešifrovať MAC verejným kľúčom na HASH pôvodnej
správy.
5.4. Certifikáty a certifikačné autority
Inštitúcie zvané certifikačné autority svojím digitálnym podpisom podpisujú
verejný kľúč a údaje o jeho vlastníkovi, teda svojím podpisom zaručujú, že majiteľom
príslušného verejného kľúča je ten, kto je v popise uvedený. Certifikačná autorita je teda
dôveryhodná tretia strana (niečo ako „sieťové notárstvo“), ktorá spája verejný kľúč
s užívateľom a overuje jeho totožnosť (autenticitu). Preto ak si chceme overiť digitálny
podpis užívateľa, vyšleme dotaz na užívateľovu certifikačnú autoritu, a takto si overíme,
že nám doručený verejný kľúč patrí skutočne osobe, ktorá proklamuje jeho vlastníctvo,
a teda nebol cestou zamenený za iný kľúč (kľúč útočníka).
Certifikáty obsahujú nielen autoritou podpísaný verejný kľúč a meno jeho
vlastníka, ale tiež platnosť, časové razítko, poradové číslo, meno certifikačnej autority
ktorá ho overila a digitálny podpis vydavateľa tohto certifikátu. Aby sa z nášho kľúča stal
certifikát podpísaný niektorou známou certifikačnou autoritou, je zvyčajne nutné vyplniť
žiadací formulár a pripojiť k nemu svoj verejný kľúč. Potom na výzvu certifikačnej
autority sme vyzvaní k jej osobnej návšteve s dokladom totožnosti. Takto vydaný
certifikát je možné považovať za dôveryhodný. Po vypršaní jeho platnosti nám obvykle
stačí odoslať digitálne podpísanú žiadosť o jeho predĺženie. Pre testovacie účely je možné
požiadať certifikačnú autoritu o vystavenie certifikátu bez osobnej návštevy, tento však
nemožno považovať za dôveryhodný.
46
Takisto v prípade odcudzenia, straty súkromného kľúča, je v našom záujme aby
sme certifikačnú autoritu požiadali o zneplatnenie (zablokovanie) certifikátu.
V praxi sa vytvárajú celé siete certifikačných autorít. Jedna certifikačná autorita môže
dôverovať druhej, a tak zabezpečiť akceptovateľnosť daných certifikátov. Toto je
využívané hlavne u elektronického obchodu, ktorý vďaka Internetu nepozná hraníc [8].
5.5. Komunikačná bezpečnosť v rámci protokolov TCP/IP
Organizácia IETF vypracovala celú radu doporučení, ktoré umožňujú dosiahnuť
zodpovedajúcu komunikačnú bezpečnosť pri použití protokolov TCP/IP.
Sú to:
protokol RADIUS pre autorizáciu prístupu,
protokol IPSec pre bezpečnú komunikáciu na úrovni IP paketov,
protokol SSL pre bezpečnú komunikáciu na úrovni 4. vrstvy.
O protokole radius (viď. časť 5.1.1.) sme si povedali v tejto kapitole. Protokoly
IPSec (viď. časť 3.2.2.) a SSL (viď. časť 3.3.1.) boli bližšie rozobraté v tretej kapitole.
Ďalšie protokoly používané pri bezpečnom spojení:
SKIP
IPv6
DNSsec
SSH
47
5.6. Zabezpečenie intranetu Intranet je využitie internetových a najmä WWW technológií na vytvorenie
informačného systému inštitúcie. Je to vlastne akýsi vnútropodnikový Internet. Intranet
musí riešiť zabezpečenie prístupu a ochranu údajov pred prístupom z vonka. Intranet
môže byť od Internetu izolovaný pomocou:
Filtrácie,
Proxy a gateway (brána),
Skrytých sietí,
Wrapperu,
Tunelu
Firewallu.
5.6.1. Filtrácia
Umožňuje oddeliť Intranet od Internetu pomocou filtra na prístupovom smerovači,
ktorým je firma pripojená do Internetu. Filtrácia je vlastnosťou smerovača. Filtráciou je
možné docieliť, aby sa klienti z Intranetu dostali na servery v Internete, ale aby
používatelia Internetu nemali prístup k serverom Intranetu. Vykonáva sa filtrácia ako na
úrovni protokolu IP, tak súčasne aj filtrácia protokolov TCP respektíve UDP. Smerovač
predtým než odovzdá dátové pakety z jedného rozhrania na druhé poradí sa s cenzorom,
t.j. pozrie sa do tabuľky tvoriacej filter (Access List). Filter nevidí do aplikačného
protokolu.
Obrázok 5. 2 Filtrácia
48
5.6.2. Proxy a Gateway
Proxy je aplikácia, ktorá je spustená na počítači, ktorý leží na rozhraní Intranetu a
Internetu. Pritom obe siete nie sú vzájomne priamo dostupné. Pre prístup z jednej siete do
druhej je nutné sa najprv prihlásiť na počítači s Proxy. Bez Proxy by sme museli mať na
tomto počítači konto. Z hľadiska klienta sa Proxy chová ako server a z hľadiska
cieľového servera sa chová ako klient. Proxy pracuje v aplikačnej vrstve, t.j. vidí do
aplikačného protokolu.
Obrázok 5. 3 Proxy
Gateway (brána) oproti Proxy prevádza jeden aplikačný protokol na iný.
Napríklad klient pristupuje na Gateway pomocou protokolu HTTP a Gateway ďalej
odovzdáva požiadavky v protokole FTP.
Obrázok 5. 4 Gateway
49
5.6.3. Skryté siete
Ak je medzi Intranetom a Internetom proxy či gateway, potom sa nadväzuje
samostatné spojenie medzi klientom a proxy a ďalšie samostatné spojenie medzi proxy a
cieľovým serverom. Nie je teda nutné, aby Intranet používal IP adresy známe v Internete.
Pre takéto použitie sú vyhradené intervaly IP adries:
10.0.0.0 až 10.255.255.255
172.16.0.0 až 172.31.255.255
192.168.0.0 až 192.168.255.255
Tieto adresy nie sú jednoznačné, nemožno ich teda v Internete použiť. Takže
počítače v Intranete sú tak chránené proti priamemu nadväzovaniu spojenia. Vykonáva sa
preklad adries NAT (Network Address Translation) vnútornej siete na povolené adresy
vonkajšej siete.
5.6.4. Wrapper
Je program, ktorý sa automaticky spustí predtým, než je klientovi povolené
prihlásiť sa k serveru. Wrapper preveruje totožnosť klienta. Ak je klient preverený, až
potom je mu spustený požadovaný server.
50
5.6.5. Tunel
Tunel vytvára spojenie medzi dvoma či viacerými stranami cez inú sieť. Tunel sa
vytvára buď za účelom transportu iného sieťového protokolu cez existujúcu sieť, alebo za
účelom bezpečného spojenia dvoch lokalít.
Zabezpečenie prenosu dát môže byť vykonávané na prístupových serveroch tak,
že v každom prenášanom datagrame sa ponechá IP záhlavie a TCP respektíve UDP
záhlavie a dátová časť paketu sa na vstupe do Internetu zašifruje a na výstupe dešifruje.
Druhou možnosťou je zašifrovať celý IP datagram a vložiť ho do nového IP paketu ako
dáta.
Obrázok 5. 5 Tunel
5.6.6. Firewallový systém
Najčastejším postupom pri zabezpečovaní siete je nasadenie sieťového
firewallového systému (viď. Obrázok 5. 6), ktorý dokáže znížiť mnohé riziká na únosnú
mieru, no určite nie je univerzálnym všeliekom.
Pod slovom firewall si každý používateľ výpočtovej techniky predstaví niečo iné.
Niekto si toto slovo asociuje s personálnym firewallom pre systém Microsoft Windows,
niekto si predstaví počítač chrániaci celú sieť a niekto len malú krabičku podobnú
switchu, ktorá oddeľuje vnútornú sieť od vonkajšej.
Zostaviť presnú definíciu je však neľahká úloha. Vo všeobecnosti môžeme
povedať, že firewall je metóda ochrany počítačov a počítačových sietí, spojených s inými
počítačmi a sieťami, proti útokom zvonku a zvnútra. Pojem firewall je tiež možné použiť
51
na opis rôznych sieťových konfigurácií zostavených pre tento účel. Firewall, je ale aj
označenie pre tzv. „paketové filtre“, ktoré sú umiestnené medzi dvoma alebo viacerými
počítačmi, alebo celými počítačovými sieťami, a filtrujú pakety podľa súboru pravidiel
zostaveného osobami zodpovednými za sieťovú bezpečnosť.
Hlavnou úlohou firewallového systému je chrániť vnútornú sieť pred nežiadúcimi
spojeniami prichádzajúcimi z vonkajšej siete, ale aj chrániť vonkajšiu sieť pred útokmi
z vnútornej siete. Bežné firewallové systémy sú schopné filtrovať sieťovú prevádzku na
tretej a štvrtej vrstve modelu ISO/OSI (International Standard Organization's Open
System Interconnect), čiže na základe zdrojových a cieľových adries a podľa zdrojových
a cieľových portov transportných protokolov TCP (Transmission Control Protocol) a
UDP (User Datagram Protocol). Niektoré implementácie firewallov dokážu však nahradiť
aj funkciu manažovateľných switchov a filtrovať aj na druhej vrstve ISO/OSI.
Poznámka: Hardvér samotný by nikdy nedokázal plniť úlohu firewallu, keby nebolo
softvéru, ktorý ho ovláda.
Typy firewallov
Firewallový systém môže pracovať ako:
Nestavový paketový filter;
Stavový paketový filter;
Proxy server.
Nestavový paketový filter
Je najjednoduchším typom firewallu a je schopný filtrovať sieťovú prevádzku len
na základe zdrojových a cieľových adries či portov. Nie je schopný rozlíšiť, či
prichádzajúce pakety patria k regulérne začatým spojeniam, pretože nijako nezohľadňuje
stavy spojení. Takýto firewall sa väčšinou nezaobíde bez toho, aby pre každé pravidlo
existovalo aj tzv. protipravidlo. V praxi to znamená, že ak napríklad z vnútornej časti
siete povoľujeme spojenie na cieľový port 80/TCP, musíme napísať aj protipravidlo,
ktoré povolí spojenie do vnútornej siete zo zdrojového portu 80/TCP. Ak by sa teda
podarilo vzdialenému útočníkovi zasielať ľubovoľné pakety zo zdrojového portu 80/TCP,
firewall by ich teoreticky mohol prepustiť.
52
Stavový paketový filter
Túto „zlú vlastnosť“ odstraňuje druhý typ firewallového systému tzv. stavový
paketový filter, ktorý dokáže kontrolovať či prichádzajúce pakety patria k niektorému z
regulérnych spojení. Aby to mohol vykonávať, musí si udržiavať stále aktuálne informácie
o prebiehajúcich spojeniach. Zjednodušene môžeme povedať, že používa tabuľku, do
ktorej zapisuje informácie o stave každého jedného sieťového spojenia. Teda odpadá
možnosť, že by prepustil pakety zo zdrojového portu 80/TCP bez toho, aby naň bolo tesne
predtým nadviazané spojenie. Výhoda takéhoto postupu spočíva v tom, že nemusí pre
každé pravidlo existovať protipravidlo, ale stačí jediné pravidlo hovoriace o akceptovaní
paketov patriacich k nadviazaným spojeniam. Udržiavanie informácií o prebiehajúcich
spojeniach sa však oproti nestavovým paketovým filtrom výraznou mierou odzrkadľuje na
nárokoch na operačnú pamäť systému. Ak jej nebude dostatok, môže sa stať, že
firewallový systém prestane obsluhovať nové spojenia do doby, kým sa nejaká pamäť
neuvoľní. Na stanovenie potrebnej veľkosti operačnej pamäte však neexistuje nijaký
vzorec, preto je nutné systém monitorovať a určiť ju na základe empirických poznatkov.
Proxy server
Je špeciálnym druhom firewallového systému, ktorý poskytuje klientom nepriamy
prístup k vybraným sieťovým službám. Klientský systém sa pripája na proxy server a
žiada o zdroje z iného servera. Proxy server mu ich sprístupní buď tak, že sa pripojí na
určený server ako klient a získa ich z neho, alebo ich poskytne z vyrovnávacej pamäte
(angl. cache). Klientský systém teda nemá priamy prístup k vonkajším zdrojom, ale
poskytuje mu ich proxy server, ktorý je pre vonkajšie systémy v úlohe klienta. Toto
umiestnenie proxy serveru medzi klienta a server, rovnako ako aj skutočnosť, že dokáže
pracovať na aplikačnej vrstve, ho priamo predurčujú na to, aby našiel uplatnenie v
sieťach, ktoré vyžadujú najvyšší stupeň zabezpečenia. Daňou za možnosť filtrovať na
aplikačnej vrstve je však v porovnaní s predchádzajúcimi typmi firewallových systémov
vyššia hardvérová náročnosť.
53
Obrázok 5. 6 Umiestnenie firewallu v lokálnej sieti
5.7. IDS/IPS (Intrusion Detection Systems / Intrusion Prevention
Systems)
5.7.1. IDS (Intrusion Detection Systems – systémy pre detekciu útokov)
Najnovšie sa do firewallov integrujú IDS (Intrusion Detection Systems – systémy
pre detekciu útokov). Tieto systémy pracujú podobne ako antivíry a pomocou databázy
signatúr sú schopné odhaliť vzorce útokov aj v zdanlivo nesúvisiacich pokusoch
o spojenie, napr. skenovanie adresného rozsahu, rozsahu portov, známe signatúry útokov
vo vnútri spojení a podobne. Slovo signatúra sa používa pre popis logiky detekcií; to
znamená zhromažďovanie testovacích kritérií používaných k oddeleniu útočnej
prevádzky od normálnej. Obecne je signatúra skôr abstraktný pojem, ktorý popisuje
klasifikačný algoritmus, ale nič nehovorí o spôsobe ako sa bude reagovať na kladnú
identifikáciu útoku. Pretože IDS len identifikuje útoky, ale nijak na ne nereaguje, slovo
signatúra sa používa len v súvislosti s IDS. Výhodou IDS systémov je vysoká úroveň
bezpečnosti kontroly prechádzajúcich protokolov pri zachovaní relatívne ľahkej
konfigurácii, pomerne vysoká rýchlosť kontroly v porovnaní s aplikačnými bránami
54
a však proti stavovým paketovým filtrom je pozorované spomalenie zhruba o tretinu až
polovinu. Z hľadiska bezpečnosti, ktorej základným pravidlom je udržiavať bezpečnostné
systémy čo najjednoduchšie a najmenšie, vyplýva nevýhoda týchto systémov. Typickými
predstaviteľmi tejto kategórie sú Check Point FireWall-1 (od verzie 4.1, alebo NGX),
produkty rady Netscreen, ISG a SSG spoločnosti Juniper [21].
5.7.2. IPS (Intrusion Prevention Systems - Systémy prevencie prienikov)
Revolučne menia prístup administrátorov k ochrane siete. IPS pracuje na ceste
v sieti a blokuje nekorektnú prevádzku. Systém analyzuje aktívne spojenie a zachytáva
útoky pri ich priechode, takže útočná prevádzka nikdy nedôjde do cieľa. Zariadenia
obyčajne nemajú MAC adresu ani IP adresu a sú pritom "nárazníkom v sieti" pre
nekorektnú prevádzku. Pri plnej rýchlosti siete IPS nebráni Legitímnej prevádzke
v priechode systémom. Optimálne IPS by v sebe mali mať automaticky nastavené tisícky
filtrov pre blokovanie nekorektnej komunikácie v tom, čomu sa hovorí "doporučená"
konfigurácia. Tieto filtre rozoznajú prevádzku, ktorá je považovaná za škodlivú
kedykoľvek a za akýchkoľvek podmienok a v akomkoľvek prostredí. V optimálnom
prípade administrátor tento systém zapne, nakonfiguruje užívateľské meno a heslo pre
administratívne rozhranie a pripojí dátové káble. Od tohto okamžiku by mal byť systém
naplno funkčný, blokovať útoky a chrániť zraniteľné systémy. IPS systém by mal
poskytovať i karanténnu činnosť. Pod karanténnou činnosťou sa myslí schopnosť nielen
zablokovať šírenie škodlivého kódu, ale aj aktívne pracovať so stanicou, ktorá šírenie
tohto kódu realizuje. Napríklad vhodnou formou informovať užívateľa lokálnej siete
o nebezpečenstve, zablokovať port nakazenej stanice na prepínači, prepnúť port prepínača
do karanténnej virtuálnej siete a taktiež sa postarať o doručenie príslušných „liečebných
procedúr“ a to všetko pokiaľ možno bez zásahu administrátora, automaticky. IPS
efektívny systém aktualizuje svoje filtre, ktoré by sa mali okamžite automaticky
nasadzovať do činnosti [21].
55
5.8. IEEE 802.1x
802.1x (Port-Based Network Access Control) je obecný bezpečnostný rámec pre
všetky typy LAN, ktorý zahŕňa autentizáciu užívateľov, integritu správ (šifrovania)
a distribúciu kľúčov. 802.1x má za cieľ blokovať prístup k segmentu lokálnej siete pre
neoprávnených užívateľov. Je založený na protokole Extensible Authentication Protocol
(EAPOL – EAP over LANs), ktorý bol pôvodne vyvinutý pre PPP LCP (Point to Point
Protocol Link Control Protocol).
Jedná sa o prenos EAP paketov prostredníctvom spojovej vrstvy LAN (typu 802). Správy
EAP sa zapuzdrujú do rámcov 802.1x. EAP umožňuje ľahkú prácu s heslami, tokenmi aj
PKI certifikátmi. Nezaisťuje overovanie ako také, ale transportný mechanizmus pre
overovacie systémy [11].
Výhody 802.1x:
schopnosť dynamicky prideliť WEP kľúč pre jednotlivých užívateľov a relácie
užívatelia musia absolvovať skutočný autentizačný dialóg, dôkladnou autentizačnou
metódou (od presných kombinácií mena a hesla užívateľa, až po digitálne podpisy).
802.1x používa k šifrovaniu dát pre každú autentizovanú stanicu dynamické
šifrované kľúče. Tieto sú známe iba danej stanici, majú obmedzenú životnosť a využívajú
sa k šifrovaniu rámcov na konkrétnu stanicu, pokiaľ sa stanica neodhlási alebo neodpojí.
5.8.1. Obecný postup autentizácie podľa 802.1x
- Prístupový server k sieti (Network Access Server), čiže prepínač alebo prístupový
bod, vyšle užívateľovi na základe detekcie jeho prítomnosti správu EAP REQUEST-
ID
- Užívateľ odpovie správou EAP RESPONSE-ID, ktorá obsahuje identifikačné údaje
užívateľa; prístupový server zapúzdri celú správu EAP RESPONSE-ID do paketu
RADIUS ACCESS REQUEST a vyšle ju RADIUS serveru
- Správy EAP sú posielané medzi užívateľom a RADIUS serverom prostredníctvom
prístupového serveru: na strane užívateľa zapúzdrené ako EAPOL a na strane servera
ako RADIUS.
56
- Server RADIUS odpovie správou obsahujúcou povolenie/zákaz prístupu (ACCESS
ACCEPT/DENY) pre konkrétneho užívateľa do siete, ktorá v sebe obsahuje
informáciu EAP SUCCESS/FAILURE, ktorú server prepošle užívateľovi
- V prípade povolenia (SUCCESS) je príslušný port prístupu do siete (cez ktorý
autentizačná komunikácia prebiehala) otvorený pre dáta daného užívateľa, ktorý je na
základe úspešného vyššie popísaného procesu považovaný za autentizovaného.
5.8.2. Popis funkcie
Užívateľ sa pripojí k RADIUS klientovi (virtuálnemu portu prístupového bodu).
Tento port je v stave „zatvorený“ a je povolený iba autentizačný protokol EAP. Špeciálny
program (suplikant), bežiaci na strane užívateľa, zaháji overenie cez EAP protokol.
Suplikant vyšle na RADIUS klienta (prístupový server s podporou 802.1x a RADIUS)
žiadosť o autentizáciu , RADIUS klient sprostredkuje overenie užívateľa voči RADIUS
serveru (pomocou protokolu EAP-TLS RADIUS server autentizuje užívateľa
a dynamicky generuje WEP kľúče). Pokiaľ toto overenie „suplikantu“ prebehne
v poriadku, vytvára RADIUS klient TLS tunel medzi užívateľom a autorizačným
RADIUS serverom pre povolenie pripojenia užívateľa do siete. O výsledku (prístup
povolený/zamietnutý) informuje RADIUS server správou ACCESS (Reject/Accept)
RADIUS klienta a ten v závislosti na odpovedi zakáže/povolí prevádzku na danom porte.
5.9. AD (Active Directory)
Termín Active Directory (ďalej len AD) je veľmi rozsiahly a ukrýva sa pod ním
kompletné riešenie správy počítačovej siete (počítače s OS Microsoft Windows) vo
firemnom prostredí podľa Microsoftu. Active Directory, je v podstate, distribuovaná
adresárová služba od MS a je súčasťou Windows Server 2000/2003. Aj keď AD
navrhnutá na správu počítačovej siete, je svojimi mechanizmami vhodná aj na
implementovanie bezpečnosti (napr. centrálna správa užívateľských účtov a prepojenie so
serverom RADIUS) [13].
Adresár obsahuje uložené súbory informácií o objektoch a ich vzájomných
vzťahoch. V počítačovej sieti sa tu nachádza veľa objektov, ako servery, stanice,
57
aplikácie, databáza, užívatelia. Užívatelia musia byť schopní nájsť a použiť tieto
informácie. Správca musí mať možnosť riadenia aj vtedy ak sa tieto objekty používajú. Je
potrebné, aby adresár bol centralizovaný (centralized), ale tiež dostatočne
výkonný/škálovateľný (scalability).
AD v sebe zahrňuje mnoho služieb. Jeho hlavnou úlohou je: poskytovanie
centrálnych služieb pre autentizáciu a autorizáciu, teda správa užívateľou (presnejšie
správa účtov, pretože to môže byť napríklad aj počítač). AD je úzko previazané s DNS a
niektoré časti AD sú na DNS založené (nebudú bez DNS fungovať). AD používa rovnakú
hierarchickú štruktúru ako DNS [14].
5.9.1. AD objekty a schéma
Dáta uložené v AD (informácie o užívateľoch, skupinách ...) sú organizované ako
objekty. Objekt je pomenovaná skupina atribútov, ktoré reprezentujú sieťový
prostriedok (resource). Niektoré objekty môžu obsahovať iné objekty, to sú kontajnery
(container).
Active Directory schéma definuje objekty, ktoré môžu byť uložené v AD.
Schéma je zoznam definícií, ktoré určujú druhy objektov a typy informácií, ktoré môžu
uchovávať. V schéme sú dva typy objektov, schéma classes (určuje možné objekty, je
súhrnom atribútov) a schéma attributes (jednotlivé atribúty pre objekt). Spoločne sa tieto
objekty nazývajú metadata.
5.9.2. AD komponenty
Komponenty slúžia k vytvoreniu štruktúry adresára tak, aby zodpovedala
štruktúre organizácie a splňovala jej potreby. Niektoré komponenty reprezentujú logickú
a iné fyzickú štruktúru. Tieto komponenty tiež pomáhajú splniť požiadavky uvedené
vyššie (škálovateľnosť).
58
5.9.3. Logická štruktúra Active Directory (organizácia zdrojov)
Je tvorená pomocou lesa, stromov, domén a organizačných jednotiek OU. Na
vrchole štruktúry je les - Forest. Ten môže obsahovať jeden alebo viac stromov - Trees.
Strom je tvorený jednou alebo viac doménami - domains. Vo vnútri domén máme
jednotlivé organizačné jednotky - OU (Organizational Unit). A vo vnútri OU sa
nachádzajú jednotlivé objekty (počítače, užívatelia, tlačiarne ...).
Poznámka: Logické zoskupovanie zdrojov slúži k tomu, aby tieto objekty mohli nájsť
podľa názvu miesto znalosti ich fyzického umiestnenia.
5.9.4. Fyzická štruktúra Active Directory
Vytvára sa pomocou doménových radičov a „site“. Site je daná určitým
rozsahom adries a väčšinou sa site rovná LAN. Druhým fyzickým komponentom je
doménový radič - Domain Controller - DC, teda priamo určený server, na ktorom sa
nachádza časť(alebo celá) AD.
59
6. Realizácia projektovania počítačovej siete vo fiktívnej
firme a jej zabezpečenie
Súčasný stav v oblasti informačných technológií (IT) neustále vedie k
skvalitňovaniu a čoraz vo väčšej miere zabezpečeniu firemnej infraštruktúry
informačného systému (IS). Výsledkom tohto procesu je spoľahlivá, bezpečná a
jednoduchšia správa IS, ktorá má predovšetkým kvalitatívne zvýšiť úroveň
poskytovaných služieb pre používateľov ako aj správcov IS. Budovanie a
komplexné zabezpečenie IS je teda dynamický proces vyžadujúci neustálu pozornosť
správcov IS.
Celá navrhovaná architektúra IS má za cieľ zabezpečiť zvýšenie celkovej
bezpečnosti, funkčnosti a konsolidácie IS firmy spolu s poskytnutím služieb Internetu.
6.1. Súčasný stav
Vo fiktívnej firme je nasadený NetFilter Firewall na platforme Ubuntu Linux,
spravovaný pomocou obslužného programu IPtables [28]. Pre potreby firmy bolo
zriadené pripojenie k ISP (Internet Service Provider) ktorý poskytuje pripojenie s
prenosovou šírkou 8Mbit/s synchrónne. V súčasnosti pokračuje produktívna prevádzka,
sledovanie a vyhodnocovanie funkčnosti a bezpečnostných hrozieb pôsobiacich na IS
Firmy.
Funkčnosť WWW stránky www.xxx.sk zabezpečuje podľa zmluvných podmienok
ISP prostredníctvom služby web-hosting. Na základe prideleného používateľského účtu
a hesla zabezpečuje správca www.xxx.sk, aktualizáciu obsahu (systémový správca
firmy).
Funkčnosť emailovej komunikácie zabezpečuje podľa zmluvných podmienok ISP
prostredníctvom služby mail-hosting. Všetky emailové správy smerované na doménu
www.xxx.sk zachytáva tzv. poštový doménový kôš dedikovaný u ISP, z ktorého sa
emailové správy pravidelne sťahujú protokolom POP3 na server umiestnený v IS Firmy
a naopak, emailové správy odosielané protokolom SMTP z IS Firmy do Internetu
prechádzajú prostredníctvom tohto poštového doménového koša. Autentifikácia prebieha
na základe používateľského mena a hesla s overením konkrétnej verejnej IP adresy
60
pridelenej Firme. Na Mailovom serveri je spustený Kerio Mail Server, ktorý je
nakonfigurovaný na triedenie pošty, antivírovú kontrolu a antispamovú kontrolu.
Zabezpečenie klientských staníc proti PC vírusom a spyware je dvojúrovňové.
Prvá úroveň je realizovaná bezpečnostnou bránou Firewall. Druhú úroveň zabezpečuje
antivírový program XYZ s pravidelnou automatickou aktualizáciou spolu s programom
Ad-Aware (MS Windows Defender) pre čistenie spyware a adaware. Nastavením lokálnej
politiky na klientských staniciach v IS Firmy je zabezpečené logovanie prihlásenia
používateľov ku klientským staniciam. Správcovia IS Firmy vykonávajú na klientskych
staniciach aktualizácie OS Windows tzv. bezpečnostnými záplatami z Internetu
prostredníctvom stránky www.windowsupdate.com (MS WSUS Server bežiaci v IS
FIRMY Internet).
6.2. Bezpečnosť informačného systému (IS) Firmy
Základná analýza rizík pre IS Firmy poukázala napríklad na nasledovné
potenciálne hrozby:
DoS útoky – vyradenie prístupu do Internetu (bezpečnostného prvku - Firewall) –
odoprenie služby Internetu, odoprenie služby poštového servera,
Zoskenovanie siete – zistenie IP rozsahov a IP adries používaných v IS Firmy,
Zneužitie – zneužitie serverov a IP rozsahov pridelených IS Firmy na nelegálne
účely,
Spam, spyware, PC vírusy – napadnutie IS Firmy nebezpečným a škodlivým
software.
Pre zabezpečenie IS Firmy slúži NetFilter Firewall na platforme Ubuntu
Linux. Firewall vytvára medzi internou podnikovou sieťou a Internetom tzv. úzke miesto,
pretože celá komunikácia musí prejsť jediným bodom ktorým je stavový paketový
Firewall NetFilter/IPtables. Na ovládanie NetFilter firewallu slúži nástroj IPtables.
NetFilter a IPtables poskytujú platformu na stavové a bezstavové filtrovanie paketov,
preklad sieťových adries a portov a inú manipuláciu s IP paketmi. NetFilter a IPtables sa
používajú v aplikáciách ako zdieľanie internetového spojenia, firewally, účtovanie IP,
transparentný proxy server, pokročilé smerovanie a riadenie premávky [26].
61
6.2.1. Realizácia základnej funkčnosti a bezpečnosti
Základná funkčnosť a bezpečnosť je realizovaná týmito metódami [20]:
Filtrovanie paketov - na Firewalle sú nastavené pravidlá, ktoré umožňujú
vytvoriť spojenie protokolom HTTP, HTTPS, FTP, DNS. Pre e-mail komunikáciu
sú povolené protokoly POP3 a SMTP.
Preklad sieťových adries NAT - (NAT – Network Address Translation) je
metóda, ktorá zabezpečuje preklad IP adries interných hostiteľských počítačov
(nahradenie jedinou IP adresou) a teda ich skrytie pred monitorovaním z Internetu.
Na Firewalle je nastavený NAT, pričom v Internete sa publikuje jedna konkrétna
IP adresa pre všetky požiadavky.
Služby PROXY – je metóda ktorá, vytvára na základe požiadavky interných
hostiteľských počítačov pripojenie na aplikačnej vrstve. Tým úplne ruší pripojenie
medzi internými a externými hostiteľmi na sieťovej vrstve. K tomuto účelu
môžeme použiť Squid proxy server. Squid je caching server pre HTTP a FTP
bežiaci pod Linuxom. Proxy server je zariadenie, ktoré pre klientov
sprostredkováva iné zdroje. Miesto toho aby sa klient spojil so serverom, na
ktorom sa zdroj nachádza, spojí sa s proxy serverom a ten požadovanú informáciu
získa (pošle) z (na) originálneho zdroja. Caching proxy server si informácie, ktoré
cez neho prechádzajú môže uložiť a ak sú od neho požadované znovu, poskytne
už len svoju lokálnu kópiu. Proxy server umožňuje bezpečné spojenie dvoch sietí
a umožňuje len vybranú komunikáciu. Caching proxy server naviac šetrí
prevádzku, ktorá medzi sieťami vzniká pri opakovanej požiadavke na ten istý
dokument. Problémom využitia caching servera pre web prostredie je možná
strata aktuálnosti poskytovaných dát (nutné obnovovať lokálnu pamäť). Squid sa
používa k pripojeniu vlastnej siete k internetu. Je veľmi výkonný, môže pracovať
s obrovskou záťažou a často je používaný pre optimalizáciu prevádzky na veľkých
zbernicových sieťach [22].
Monitoring útokov proti podnikovej sieti IDS – Intrusion Detection System
(IDS) je automatický systém detekcie prieniku do internej počítačovej siete.
Pomocou IDS máme možnosť zaznamenať a odhaliť neoprávnené, nesprávne
alebo nezvyklé aktivity počítačového systému alebo siete.
62
Ďalším z prvkov ochrany IS Firmy je segmentácia siete čo predstavuje nastavenie
nesmerovateľných rozsahov IP adries v IS Firmy a súčasne vytvorenie tzv.
demilitarizovaných zón (navzájom nesmerovateľné podsiete medzi bezpečnostnými
prvkami).
Pre nastevenie serverov IS Firmy, okrem ich funkčných vlastností, sa kladie
dôraz na nasledovné bezpečnostné nastavenia:
Účty administrátorov IS Firmy majú názov, z ktorého nijako nemožno
vydedukovať, že sa jedná o administrátorské účty. Heslá sú
komplexné, dostatočne dlhé (viac ako 10 znakov) a pravidelne sa obmieňajú.
Účet Administrátor, ktorý vznikne pri každej inštalácii OS Windows Server
2000/2003 je premenovaný a je vytvorený nový účet, ktorý sa volá Administrátor.
Ale ten má len užívateľské práva, dlhé a komplexné heslo a je zablokovaný.
Na serveroch sú spustené len tie služby, ktoré sú potrebné na jeho bezproblémový
chod.
Na každom serveri je nainštalovaný antivírový program XYZ s nastavenou
pravidelnou aktualizáciou z Internetu a pravidelnou automatickou kontrolou a
čistením HDD (mazanie všetkých súborov ktoré sa nedajú liečiť) a tiež zasielaním
vírusových správ na e-mail správcu IS Firmy.
Na serveroch je prostredníctvom lokálnej politiky nastavené logovanie pokusov o
neoprávnené prihlásenie, zmenu systémových parametrov, zmenu prístupových
práv, prezeranie a zmenu bezpečnostných nastavení.
6.3. Návrh riešenia
Všetky popísané navrhované riešenia nie sú, alebo sú len vo veľmi malej a
obmedzenej miere implementované v súčastnej podobe IS Firmy, čím sa zvyšuje
možnosť vzniku bezpečnostného rizika.
Pre rozvoj IS Firmy je potrebné vo väčšej miere zabezpečiť centrálnu správu,
monitorovanie a ochranu jednotlivých klientských staníc, serverov a samotných
používateľov. S tým je spojené vytvorenie a prijatie smernice pre používanie IS Firmy,
nasadenie systému na centrálny monitoring a konfiguračný manažment siete a klientských
staníc. Napríklad nasadenie komplexnej technológie zabezpečenia Microsoft ForeFront,
63
ktorá v sebe obsahuje firewall Internet Security and Acceleration Server (ISA Server),
centralizované riešenie na ochranu serverov a klientských staníc proti škodlivému kódu
(Microsoft Antigen a Forefront Security), ďalej nasadenie produktov a riešení pre správu
systémov ako MS System Center, ktorý v sebe obsahuje Microsoft System Management
Server (SMS Server) riešenie pre inventarizáciu, distribúciu a automatickú inštaláciu
softvéru, Microsoft Operations Manager Server (MOM Server) pre centrálnu správu
a monitoring služieb v IS Firmy, Windows Server Update Services (WSUS Server) pre
distribúciu a automatickú inštaláciu dôležitých bezpečnostných aktualizácií produktov
firmy Microsoft, atď.. Alebo použitie architektúry Self Defending Network od firmy
CISCO Systems. Jedná sa o implementáciu funkčných a zároveň bezpečnostných prvkov
do IS firmy ako napríklad ASA Firewall, MARS server na centralizovaný zber
a koreláciu logov a bezpečnostných incidentov spolu s implementáciou rozšírených ACL
(Access Control List) a IOS Firewallom na smerovačoch.
SDN (Self Defendidng Networks) je počítačová sieť schopná samostatne a
výkonne odolávať vnútorným aj vonkajším bezpečnostým ohrozeniam, reagovať podľa
stupňa ohrozenia, izolovať infikované PC a servery a rekonfigurovať sieťové prvky ako
odpoveď na útok alebo hrozbu [23].
Je treba zabezpečiť bezpečnostný monitoring a prevenciu proti útokom na
klientské stanice a servery v IS Firmy (Network and Host Intrusion Detection Prevention
System) s centrálnym zberom a vyhodnocovaním bezpečnostných incidentov (napr.
produkt CISCO HIPS - CSA (Host Intrusion Prevention System - Cisco Security Agent)
a MARS). Výsledkom takéhoto monitoringu je takmer okamžitá identifikácia a vhodná
reakcia na vznik bezpečnostného incidentu.
Pre zabezpečenie spoľahlivosti a dostupnosti IS Firmy je potrebné zabezpečiť
kvalitný hardvér, ktorý umožňuje svojimi parametrami realizovať túto požiadavku. Medzi
profesionálne riešenia v tejto oblasti patria napr. servre spoločnosti HP, Dell alebo IBM.
Výhody tohto riešenia sú vysoký výkon, spoľahlivosť a odolnosť voči zlyhaniu (záložné
zdroje napájania a ventilátory, zrkadlenie – miror pamäte, funkcie RAID (Redundand
Array of Independent Disks), vzdialená správa Lights-Out, SCSI disky s vysokou
odolnosťou proti zlyhaniu, atď.). Pre potreby Firmy je vhodné nasadiť napríklad
modelovú radu HP Proliant DL 360 a DL 380.
Je vhodné vymeniť existujúci Firewall za profesionálne hardwarové riešenie
s požadovanou priepustnosťou a implementovanými funkciami VPN koncentrátora pre
IPSec VPN aj SSL VPN prístup. Pre zvýšenie bezpečnosti je vhodné nasadiť ďalší
64
bezpečnostný prvok pred už existujúci Firewall v podobe Cisco Routeru (s
implementovanými bezpečnostnými prvkami ako napr. IDS, IPS, Firewall, atď.).
Pre zabezpečenie serverovej farmy je vhodné nasadiť kvalitný firewall napr. MS
ISA Server alebo Cisco ASA (Adaptive Security Appliance).
Pre zabezpečenie jednoduchšieho, kvalitnejšieho, flexibilnejšieho a hlavne
centrálneho manažmentu používateľských účtov a PC je potrebné nasadiť službu Active
Directory (AD) spolu s nastavením bezpečnostnej politiky na základe smernice
o používaní IS Firmy. Táto služba bola vytvorená práve pre zefektívnenie práce
administrátorov IS a má podstatný význam pri zavádzaní a uplatňovaní bezpečnostných
nastavení na klientské stanice, formou aplikovania bezpečnostných politík vytvorených
na základe bezpečnostných smerníc.
Pre kvalitnejšie poskytovanie e-mail služieb s prepojením na štruktúru Active
Directory je vhodné použiť napríklad MS Exchange server. Možnosť poskytovania e-mail
služieb, zabezpečených protokolom SSL, cez internetový prehliadač (OWA - Outlook
Web Access).
Pre zabezpečenie dostatočnej ochrany jednotlivých používateľských staníc je
potrebné nasadiť OS Windows XP (Windows Vista), ktorý má kvalitnejšie zabezpečenie
proti hrozbám zo strany Internetu (Napr. opravný balík Service Pack 2 a 3 pre OS
Windows XP priniesol viaceré bezpečnostné vylepšenia smerujúce k ochrane OS pred
útokmi zo strany existujúcich a nových škodlivých kódov).
Pre zabezpečenie nepretržitej prevádzky a dostupnosti služieb poskytovaných v IS
Firmy je vhodné na strane serverov nasadiť OS Windows Server 2003 Standard
a Enterprise edition (Windows 2008 Server), ktoré vylepšujú výkon, správu, spoľahlivosť
a využiteľnosť služby Active Directory.
Antivírusový program NOD32 zabezpečuje servre a klientské stanice pred
rôznymi druhmi vírusov a trójskych koní. Použitie verzie NOD32 Enterprise Edition,
ktorá je navrhnutá pre veľké podnikové siete, okrem štandartného použitia na
používateľských staniciach, zahŕňa aj NOD32 Remote Administrator pre centrálnu
diaľkovú správu.
Použitie FrontEnd MAIL serveru pre prvotné vytriedenie a vyčistenie
elektronickej poštovej komunikácie od nežiadúceho SPAMu, vírusov a následné
spracovanie elektronickej pošty tzv. BackEnd MAIL serverom, ktorý rozdistribuuje
poštovú komunikáciu jednotlivým používateľom (napr. MS Exchange Server). V úlohe
FrontEnd MAIL serveru je možné použiť napr. CISCO IronPort MAIL.
65
Pre výstup z IS Firmy v tlačenej podobe je vhodné nasadiť sieťové farebné
tlačiarne, čím sa vytvorí prostredie pre monitoring (realizácia dodatočnými technickými
prostriedkami) a dostupnosť tlačiarne z každého používateľského PC na základe presne
špecifikovaných pravidiel.
Pre centrálne umiestnenie, monitoring a riadenie prístupu k aplikačným serverom
je vhodné vytvoriť tzv. serverovú farmu. Táto časť IS Firmy v sebe zahŕňa primárny
a záložný doménový kontroler, PROXY server, BackEnd Mail server, aktualizačný a
monitorovací server (NOD32, WSUS), zálohovací server, DNS server, DHCP server,
atď.
V IS Firmy je treba zabezpečiť zálohovanie a archiváciu dát. Zálohovanie dát je
veľmi dôležitý proces pre zabezpečenie spoľahlivosti a dostupnosti IS Firmy. Poskytuje
záruku obnovenia dát po zlyhaní technického prostriedku alebo niektorej funkčnej časti
IS. Archivácia dát za účelom ich neskoršieho využitia je v IS Firmy potrebná na
archiváciu poštovej komunikácie, log. súborov atď. Zabezpečenie zálohovania
a archivácie dát je možné pomocou špeciálneho softvéru ako napríklad HP Data Protector
na špecializované médium ako napríklad DAT páska. Samoobslužná pásková mechanika
HP AutoLoader je cenovo dostupné riešenie s možnosťou automatickej zálohy na 8
pások.
Pre zabezpečenie dôveryhodnosti, integrity informácií v IS Firmy a pre
autentifikáciu, autorizáciu a kontrolu prístupov k IS Firmy je vhodné zriadiť napr.
Certifikačnú Autoritu a AAA Server (Autentication, Authorization, Acounting).
Pre zabezpečenie infraštruktúry odolnej voči pripojeniu neautorizovaného PC do
IS Firmy je vhodné použiť zariadenia podporujúce štandard 802.1x (napr. Cisco Catalist).
Na otestovanie zraniteľnosti IS Firmy je vhodné vykonávať tzv. penetračné testy,
ktoré majú odhaliť bezpečnostné riziká v IS Firmy. Analýzou výsledkov penetračných
testov je možné vo väčšej miere zabezpečiť odolnosť IS Firmy voči bezpečnostným
hrozbám. Program slúžiaci na analýzu zraniteľnosti firemnej počítačovej siete je napr.
Nessus od spoločnosti Tenable Network Security.
Pre zabezpečenie nepretržitej prevádzky a dostupnosti služieb bežiacich na
technickom prostriedku je vhodné použiť technológiu „clusterov“. Jedná sa
o technológiu, ktorá zabezpečí sto percentnú redundanciu technického prostriedku a
dostupnosť služieb bežiacich na tomto technickom prostriedku.
Ako dodatočnú formu ochrany IS Firmy je vhodné nasadiť tzv. Honey Pot, čo je
úmyselne nastražený systém, ktorého cieľom je prilákať potencionálnych hackerov a tým
66
odpútať ich pozornosť od produktívneho systému IS Firmy. Výsledkom je presné
zdokumentovanie činnosti hackera, čo môže slúžiť ako dôkazový materiál pri jeho
odhaľovaní a dolapení orgánmi zaoberajúcimi sa počítačovou kriminalitou.
6.4. Návrh logickej topológie IS Firmy Internet
Obrázok 6. 1 Návrh logickej topológie fiktívnej firmy
67
6.4.1. Požiadavky na systém
Logická topológia vychádza z požiadavky jedného dátového centra pripojeného
do Internetu prostredníctvom jedného poskytovateľa Internetu ISP (15/15 Mbps) a
záložného pripojenia prostredníctvom ADSL pripojenia (10/2 Mbps).
Navrhované riešenie počíta s optimálnym funkčným nasadením a konsolidáciou
nasledovných požiadaviek na systém:
Zabezpečenie prevádzky serverov v DMZ Mail FrontEnd, FTP/WEB
servera
Zabezpečenie prevádzky vnútorných serverov DC/DNS/DHCP, Proxy-
SQUID, Mail BackEnd, MARS, Update SRV/WSUS/NOD32,
AAA/Radius servera na HW zariadení (vhodný server od spoločnosti HP)
Návrh využíva model trojúrovňovej kontroly toku medzi ISP a IS Firmy. Prvú
úroveň zabezpečuje CISCO Router, ktorý filtruje tok na základe ACL a vytvára ochranu
pred útokmi typu DoS/DDoS a zabezpečuje pokročilé FW funkcie implementované
v IOS.
Pre oddelenie jednotlivých častí segmentov slúži druhá úroveň zabezpečenia
realizovaná prostredníctvom hardvérového firewallu CISCO ASA (napr. model 5520 s
modulom Anti-X pre zabezpečenie sieťovej filtrácie vírusov, spamov a tzv. phishing
stránok) s plným overovaním a s integrovanými technológiami VPN. Produktový rad
Cisco ASA 5500 (Adaptive Security Appliance) zahŕňa portfólio špičkových
vysokovýkonných multifunkčných bezpečnostných zariadení. Implementuje
konvergentné riešenia ako sú firewall, či riešenie pre vytváranie virtuálnych privátnych
sietí (VPN), čím chráni sieť pred vonkajšími útokmi a inými bezpečnostnými rizikami.
Produkty Cisco ASA 5500 umožňujú štandardizovať bezpečnostné funkcie na jednej
platforme pod jednotnou správou, čím je možné zjednodušiť správu siete a dosiahnuť
nižšie prevádzkové náklady resp. nižšie náklady na náhradné komponenty. CISCO ASA
ponúkajú vhodné riešenie nielen pre centrálu, ale aj pre vzdialené pobočky, či domácich
užívateľov. Kľúčovými vlastnosťami CISCO ASA rady 5500 sú: kombinuje firewall a
VPN; chráni sieť pred útokmi z vonkajšieho prostredia, ochrana pred DoS útokmi;
zabezpečuje aplikácie a blokuje nevhodnú komunikáciu; VPN služby a VPN termináciu
pre prepájanie sietí; IPSec SSL VPN služby pre bezpečný vzdialený prístup mobilných
užívateľov; hĺbková plnostavová inšpekcia a ochrana desiatok protokolov; centralizovaná
68
správa pri nasadení viacerých systémov; podpora translácie adries NAT. Týmito
vlastnosťami dokážeme zabezpečiť všetky zariadenia v sieti, znížiť náklady na správu IT
infraštruktúry, skrátiť dobu výpadku siete, ochrániť citlivé údaje o zákazníkoch
a zamestnancoch, zvýšiť produktivitu zamestnancov [24].
Pre vývojové oddelenie firmy je zabezpečená tretia úroveň kontroly pomocou
aplikačného firewallu, ktorý detailne monitoruje všetku prechádzajúcu prevádzku.
Aplikačný proxy firewall (Application proxy firewall gateway) je brána, ktorá prevádza
kontrolu na aplikačnej vrstve. Všetky pakety prechádzajúce zo siete musia prejsť touto
bránou. Výhodou je možnosť autentizácie to znamená, že sa môžu používať
autentizačné mechanizmy pre každého užívateľa zvlášť. Ďalšou výhodou sú logovacie
možnosti, kedy všetky požiadavky prechádzajú cez proxy a preto sa dajú ľahko
kontrolovať a podrobne logovať. Nevýhodou je úprava aplikácií, pretože všetky
aplikácie sa musia pripájať cez proxy a náročnosť na výkon (nutnosť mať pre každú
službu/aplikáciu vlastný proxy, stojí niečo z výkonu stroja na ktorom běží, obvykle sa
jednotlivé aplikačné proxy umiestňujú na samostatné stroje v demilitarizovanej zóne)
[27].
Celý segment je rozdelený na jednotlivé funkčné celky, ktoré sú navzájom
prepojené cez firewall a vysokorýchlostný L3 switch napríklad Cisco Catalyst série
4500 s možnosťou integrovania prídavných IDS, IPS, Firewall modulov. Tento switch je
vhodný pre podniky všetkých veľkostí. Rozširuje komplexný súbor sieťových služieb do
bezpečnej, flexibilnej, škálovatelnej, no hlavne jednotnej siete (dátovej, hlasovej a video
siete). Čiže zaisťuje zjednotenú komunikáciu s ponukou integrovaných služieb a funkcií
pre optimalizáciu siete a jej budúci rozvoj. HW a SW je odolný voči výpadkom siete
a tiež obsahuje veľa bezpečnostných funkcií. Switch má schopnosť automaticky riadiť
a monitorovať prebiehajúcu prevádzku. Na riešenie prevádzkových úloh využíva CPU.
Switch podporuje súbor zásuvných modulov (kariet – aj staršie aj novšie verzie) a je
kompatibilný s protokolmi IPv6 a IPv4 [25].
Jednotlivé funkčné celky sú:
Perimeter segment, slúžiaci na pripojenie k Internet smerovačom, na
manipuláciu s prevádzkou podľa typu zdrojovej IP adresy (Policy Based
Routing) a zabezpečenie dostupnosti služieb podľa zadefinovaných
verejných IP adries pridelených ISP.
69
Demilitarizovaná zóna (DMZ) pre servery poskytujúce služby do siete
ISP. Servery môžu byť fyzicky oddelené komponenty, alebo môžu
využívať produkty pre virtualizáciu informačných systémov. Návrh je
otvorený obom riešeniam. DMZ je pripojená do IS Firmy
prostredníctvom Site-To-Site IPSec VPN tunelu, čím zabezpečíme
bezpečnú komunikáciu FrontEnd a BeckEnd Mailového servera
a bezpečnú správu systémov v DMZ umiestnenej u ISP (Server
Housing).
Segment slúžiaci pre pripojenie lokálnych používateľov s možnosťou
prestupu do každej z častí siete podľa pravidiel špecifikovaných
v konfigurácii Cisco ASA firewall-u.
Segment pre pripojenie vnútorných serverov, ktoré budú slúžiť primárne
pre zabezpečenie autentifikácie, autorizácie a accountingu (AAA), pre
bezpečnostný monitoring celého segmentu (MARS) a pre manažment
jednotlivých sieťových komponentov. V tomto segmente budú pripojené
servery slúžiace ako karanténna zóna pre nápravu PC systémov, ktoré
nespĺňajú požiadavky na stav operačného systému, verzie antivírového
programu, nainštalovaných opráv OS a podobne. Servery môžu byť
fyzicky oddelené komponenty, alebo môžu využívať produkty pre
virtualizáciu informačných systémov. Návrh je otvorený oboma
riešeniam.
Samostatný segment pre pripojenie pracovníkov vývojového oddelenia
firmy, kde sú aplikované striktné bezpečnostné pravidlá na prevenciu
priemyselnej špionáže.
Segment pre pripojenie manažment rozhraní jednotlivých serverov (iLO)
resp. pre pripojenie manažment rozhraní ostatných sieťových prvkov.
Dohľadový a management segment slúži na bezpečné oddelenie
dohľadového systému Cisco MARS a management systému pre sieťové
a bezpečnostné prvky IS Firmy, kde sú aplikované striktné bezpečnostné
pravidlá.
Každý server má implementovaný HIDS (Host IDS) a v sieti sa
kontroluje prevádzka pomocou network IDS a IPS systémov. Všetky
bezpečnostné incidenty sú zbierané vyhodnocované v Cisco MARS,
70
ktorej konzola je vyvedená na dohľadovom PC a nepretržite sledovaná
systémovým/bezpečnostným správcom.
6.4.2. Používateľská časť
Používateľská časť siete môže byť logicky rozdelená na jednotlivé segmenty napr.
podľa organizačnej štruktúry. Konfiguráciou virtuálnych lokálnych sietí dosiahneme
logické oddelenie jednotlivých segmentov medzi sebou. Pre prístup do lokálnej siete bude
na užívateľských portoch zapnuté 802.1x overovanie identity voči RADIUS serveru
a Microsoft Active Directory. Porty pre pripojenie užívateľov budú nastavené v
„switchport mode access“ s príslušnou VLAN a konfiguráciou 802.1x protokolu.
Východziu bránu pre užívateľskú prevádzku bude tvoriť virtuálne rozhranie pre každú
VLAN zvlášť. Použitie redundantných protokolov ako HSRP nemá v tejto topológii
opodstatnenie, pretože každý užívateľ je pripojený iba na jeden prístupový prepínač.
6.4.3. Dátové centrum
Keďže je nutné zabezpečiť smerovacie funkcie medzi jednotlivými segmentmi
siete pri zachovaní všetkých bezpečnostných mechanizmov na ASA firewall-e, celý
rozhodovací proces týkajúci sa smerovania medzi segmentmi bude nakonfigurovaný na
ASA firewall-e.
Pre prístup do Internetu bude využitá na ASA firewall-e vlastnosť „object
tracking“ so statickými záznamami s rôznou metrikou pre zabezpečenie použitia
redundantnej cesty (ADSL pripojenie k sekundárnemu ISP) v prípade výpadku
primárneho poskytovateľa pripojenia do Internetu. Na smerovačoch v Internet segmente
bude použitá vlastnosť „Policy Based Routing“ pre zabezpečenie správneho odchodzieho
smeru pre prevádzku iniciovanú z IP rozsahu primárneho alebo sekundárneho ISP.
71
6.5. Fyzická topológia
Pre zabezpečenie prepojenia všetkých komponentov siete navrhujem použiť Cisco
prepínače rady 4500 s využitím vlastnosti, ktorá umožní zabezpečiť redundanciu
v sieťovom zapojení bez rizika vytvorenia L2 slučiek (STP – Spanning Tree Protocol).
Topológia je rozdelená do nasledovných funkčných blokov:
Core – tvorený prepínačom Cisco Catalyst 4500, ktorý zabezpečuje
komunikáciu ostatných funkčných blokov navzájom, prepojenie na ASA
firewall, presmerovanie požadovanej prevádzky na IPS/IDS systém,
oddelenie prevádzky medzi blokmi (virtuálne LAN).
Servery – tvorené príslušným počtom prepínačov Cisco catalyst 3750
podľa celkového počtu serverov. Každý server môže byť do siete
pripojený oboma sieťovými rozhraniami a využívať vlasnosť NIC
teaming.
iLO – blok slúžiaci pre pripojenie manažment rozhraní všetkých
sieťových prvkov.
užívateľská časť – podobne ako servery je tvorená príslušným počtom
prepínačov 3750 v StackWise zväzku podľa celkového počtu
prístupových portov.
Všetky bloky sú prepojené navzájom cez „Core“ využitím technológie
etherchannel, ktorá poskytuje redundanciu a vyššiu priepustnosť bez nutnosti vytvorenia
slučiek v sieti.
72
6.6. Vzdialený prístup
Pre pripojenie vzdialených užívateľov využijeme vlastnosť ASA firewallu – VPN
koncentrátor. Z pohľadu vybavenia užívateľov ich môžeme rozdeliť do 3 základných
skupín:
Užívateľ s vlastným HW vybavením – PC/notebook s nainštalovaným
Cisco VPN klientom
Užívateľ s vlastným HW vybavením – PC/notebook bez Cisco VPN
klienta
Užívateľ bez vlastného HW vybavenia využívajúci lokálnu službu pre
pripojenie do Internetu, zvyčajne s možnosťou použiť iba internet
prehliadač
6.6.1. Užívateľ s vlastným HW vybavením a Cisco VPN klientom
Bude realizované šifrovaným tunelom medzi Cisco VPN klientom a VPN
koncentrátorom. Šifrovanie sa v tomto prípade uskutočňuje na 3. vrstve OSI modelu
a teda sú zašifrované všetky aplikačné vrstvy. Z hľadiska šifrovania je možné použiť
algoritmus:
DES s 56 bitovým kľúčom
3DES so 168 bitovým kľúčom
AES so 128, 192, alebo 256 bitovým kľúčom
Z pohľadu vzdialeného užívateľa mu bude pomocou VPN spojenia umožnená taká
istá konektivita a dostupnosť aplikácií, ako keby pracoval z lokálneho segmentu.
6.6.2. Užívateľ s vlastným HW vybavením bez Cisco VPN klienta
Tento typ užívateľov môže využiť technológiu AnyConnect VPN klient. Ide
o prístup prostredníctvom internet prehliadača na IP adresu rozhrania VPN koncentrátora
poskytujúceho SSL VPN službu. Po overení identity užívateľa VPN koncentrátor umožní
stiahnutie VPN klienta na vzdialený počítač. Po nainštalovaní klienta je umožnené
73
nadviazanie SSL VPN spojenia a tým prístup k definovaným aplikáciám. Po ukončení
práce je klient automaticky odinštalovaný a všetky používané prechodné súbory sú
zmazané. Táto vlastnosť umožňuje využiť tento typ spojenia aj na cudzom HW vybavení.
6.6.3. Užívateľ bez vlastného HW vybavenia používajúci internetový prehliadač
Navrhovaná technológia umožňuje bezpečné pripojenie aj tých vzdialených
užívateľov, ktorí nemajú možnosť použiť vlastný hardwér pre pripojenie do internetu.
V prípade, že sa užívateľ dostane na internet a môže používať iba internet prehliadač, je
možné zrealizovať bezpečné pripojenie prostredníctvom tzv. WebVPN technológie.
WebVPN technológia využíva šifrovanie na aplikačnej vrstve prostredníctvom SSL
protokolu, teda využíva schopnosť internet prehliadača šifrovať komunikáciu. Po overení
užívateľa a vytvorení šifrovaného tunela medzi aplikáciami sa dostane vzdialený užívateľ
na svoju domovskú WebVPN stránku, kde budú vystavené aplikačné linky, pomocou
ktorých bude môcť komunikovať so servermi v dátovom centre. V prípade využívania
TCP spojenia pre prístup k aplikácii je možná konfigurácia tzv. port forwarding, ktorý
umožní priamy prístup cez SSL tunel k aplikáciám ako napr.:
Lotus Notes
Microsfot Outlook
Microsoft outlook express
SSH, SFTP
telnet
windows terminal service (RDP)
6.7. Bezpečnosť na lokálnych portoch
6.7.1. Overovanie identity na portoch – 802.1x
IEEE 802.1x štandard definuje spôsob autentifikácie a riadenie prístupu na
prepínačoch. Overovanie prebieha spôsobom klient-server, kde autentifikačný server
overuje právo prístupu daného klienta do lokálnej siete a prideľuje klientovi VLAN ešte
pred umožnením využívania služieb siete. Pokiaľ klient nie je autentifikovaný, je
74
povolená iba komunikácia autentifikačným protokolom EAPOL (Extensible
Authentication Protocol over LAN). Pre nasadenie tohto spôsobu overovania klientov je
nutné implementovať do siete autentifikačný server, Cisco ACS podľa obrázku (viď.
Obrázok 6. 2).
Obrázok 6. 2 Implementácia autentifikačného servera Cisco ACS do siete
Úlohy jednotlivých zariadení sú nasledovné:
Klient – zariadenie, ktoré vyžaduje prístup na prepínač a k službám siete. Odpovedá
na autentifikačnú požiadavku od prepínača. Pracovná stanica musí mať zapnuté
overovanie cez 802.1x, resp. musí mať nainštalovaný tzv. „supplicant“ podľa
špecifikácie 802.1x (je súčasť Windows XP).
Prepínač – riadi fyzický prístup do siete na základe stavu v procese autentifikácie
klienta. Funguje ako proxy medzi klientom a RADIUS serverom, vyžaduje
autentifikačné informácie od klienta a preposiela ich na autentifikačný server, pracuje
ako RADIUS klient.
Autentifikačný server, ACS RADIUS – zabezpečuje samotné overenie identity
klienta a notifikuje prepínač o právach daného klienta vzhľadom na prístup do
lokálnej siete.
Overenie identity môže začať klient alebo prepínač. Ak je zapnutá vlastnosť dot1x
port-control auto, prepínač musí zahájiť overovanie v prípade, že port zmení svoj stav
z DOWN na UP. Ak klient nedostane požiadavku na overenie v počas štartu operačného
systému, môže dodatočne požiadať prepínač o overenie vyslaním EAPOL-Start.
Pre doladenie funkčnosti celého systému overovania identity je možné využiť
viacero vlastností, medzi ktoré patria:
75
Zapnutie opakujúceho sa overovania – táto vlastnosť nie je vopred povolená.
Umožňuje v pravidelných intervaloch (od 1 do 65535 sekúnd) overovať klienta na
porte, ktorý je už v autorizovanom stave. Opätovné overenie identity je možné
previesť aj manuálne príkazom dot1x re-authenticate interface názov_rozhrania.
Zmena časového intervalu po neúspešnom pokuse o overenie identity – prepínač po
neúspešnom pokuse o overenie identity zabráni v prístupe na sieť a „čaká“ 60 sekúnd,
pokiaľ povolí klientovi ďalší pokus o overenie. Tento čas je možné nastavovať
v rozmedzí 0 až 65535 sekúnd.
6.7.2. Port security
V prípade, kedy nie je možné použiť overovanie protokolom 802.1x, napr. pre
tlačiarne, je vhodné použiť iný bezpečnostný mechanizmus. Bezpečnostné vlastnosti na
jednotlivých portoch prepínača môžeme použiť s dynamicky naučenými MAC adresami
alebo so staticky zadefinovanými MAC adresami. Z hľadiska bezpečnosti je vhodnejšia
statická konfigurácia MAC adries pre pracovné stanice a servery, ktoré majú právo
komunikovať na danom porte.
V prevádzke sa môžu vyskytnúť situácie, kedy dôjde k porušeniu nastavenej
bezpečnosti na porte a to najmä:
Ak je dosiahnutý maximálny počet MAC adries na zabezpečenom porte a zdrojová
MAC adresa prichádzajúcej prevádzky na port nie je z rozsahu autorizovaných MAC
adries, prepínač uplatní pre daný port nakonfigurovanú bezpečnostnú politiku
Ak sa autorizovaná MAC adresa nakonfigurovaná na jednom zabezpečenom porte
pokúsi o prístup na prepínač z iného portu v rovnakej VLAN, prepínač uplatní pre
daný port nakonfigurovanú bezpečnostnú politiku
Bezpečnostnú politiku na porte je možné nastaviť do troch rozličných módov:
Protect – zahadzuje prevádzku s neznámou zdrojovou MAC adresou
Restrict - zahadzuje prevádzku s neznámou zdrojovou MAC adresou a zvýši hodnotu
počítadla SecurityViolation
Shutdown – prepne rozhranie do stavu err-disabled a pošle SNMP notifikáciu
76
Prvé dva módy bezpečnostnej politiky analyzujú prevádzku prichádzajúcu na port
aj po uplatnení zahájení samotnej politiky (zahadzovanie paketov) a môžu mať vplyv na
neúmerné zaťaženie CPU na prepínači. Preto je nutné zadefinovať vlastnosť „Port
security rate limiter“.
V prípade, že dôjde k vypnutiu portu pri uplatnení bezpečnostnej politiky „shutdown“,
musí operátor manuálne vrátiť port do pôvodného stavu príkazom „errdisable recovery
cause violation_mode“ v globálnom móde, alebo príkazmy „shutdown – no shutdown“
na konkrétnom porte.
Maximálny počet autorizovaných MAC adries na jednom porte je prednastavený
na 1, v prípade nutnosti je možné toto číslo zmeniť v rozsahu 1 – 4097 (platí pre IOS
12.2(18)SXE a neskôr). Toto obmedzenie na počet autorizovaných MAC adries je možné
nastavovať aj na „trunk“ portoch.
6.7.3. Porty pre pripojenie tlačiarní
Z bezpečnostného hľadiska je potrebné nastavenie portov pre pripojenie tlačiarní
tak, aby sme zamedzili možnosti odpojenia tlačiarne a pripojenia neautorizovaného
zariadenia do siete. Na zabezpečenie týchto portov odporúčame použiť technológiu port-
security. Správnou konfiguráciou dosiahneme to, že na každý port sa bude môcť pripojiť
iba autorizované zariadenie, v prípade fyzického odpojenia portu dôjde k zablokovaniu
tohto rozhrania. Opätovné pripojenie portu do prevádzky bude vyžadovať manuálny
zásah administrátora. Prevádzka z daného portu bude povolená výlúčne iba na tlačový
server, na tieto porty bude povolená iba prevádzka súvisiaca s komunikáciou na tlačový
server.
6.8. Adresný plán Pri návrhu adresného plánu som bral do úvahy adresné rozsahy ktoré sú
v internete nesmerovateľne (10.x.x.x, 172.16.x.x, 192.168.x.x) výhľadom na to že kôli
bezpečnosti používam preklad adries NAT. Koli jednoduchosti nepoužívam VLSM
(Variable-Length Subnet Masking - mechanizmus na delenie adresných priestorov na
podsiete, ktorý nám pomáha šetriť IP adresami tým, že použijeme len toľko IP adries,
koľko naozaj potrebujeme).
77
6.9. Navrhované technické prostriedky Tabuľka 6. 1 Hardvérová špecifikácia
Tabuľka 6. 2 Softvérová špecifikácia SW Licencia Popis, funkcia MS Windows 2003 Server 8 Server OS MS Windows XP Professional 300 Users OS MS Exchange server 1 + 300 mailbox MAIL server MS Windows ISA Server 1 Firewall MS System Center Operations Manager 1 Správa MS Systems Management Server 1 Správa
6.10. Zhodnotenie
Navrhované riešenie zvýši pre používateľov úroveň poskytovaných služieb.
Celkovo sa zvýši úroveň zabezpečenia IS Firmy. Zároveň sa pre správcov zjednoduší
správa a monitoring IS Firmy. Výsledkom celého navrhovaného riešenia bude zvýšenie
celkovej bezpečnosti, funkčnosti a konsolidácie IS Firmy.
78
Záver
V dnešnej dobe sa čoraz častejšie pri návrhu počítačových sietí kladie dôraz na
zabezpečenie a ich spájanie a tým vytváranie korporátných sietí, kde sa ľudia nemusia báť
zdieľať dáta a tým zvýšiť efektivitu práce zamestnancov ako aj jednotlivcov, ktorý
využívajú technológiu VPN. Aj keď technológia VPN dokáže vytvoriť bezpečný kanál
medzi privátnou počítačovou sieťou a vzdialeným používateľom, je treba vziať do úvahy
skutočnosť, že celá sieť je len tak bezpečná ako je jej najslabší článok. Preto treba klásť
dôraz na zabezpečenie (nevyzradenie, včasné hlásenie straty) prístupových kódov
a komunikačných PC. Každý takýto bezpečnostný incident by mohol mať za následok
nabúranie sa do štruktúr informačného systému firmy.
Sieťová bezpečnosť nesmie byť podceňovaná a rovnako tak ani fyzická alebo
systémová. Je síce možné pomerne presne určiť, ktoré prvky a činnosti spadajú do
sieťovej bezpečnosti a ktoré do systémovej, no nikdy ich nie je možné od seba oddeliť,
pretože úzko spolu súvisia. Bez prísneho dodržiavania pravidiel systémovej bezpečnosti
nemožno ani len uvažovať nad sieťovou bezpečnosťou. Miera zabezpečenia by mala byť
vždy úmerná objektu, ktorý chceme zabezpečiť. Preto je potrebné zvážiť vhodnú metódu
zabezpečenia a dbať hlavne na technicko-ekonomické aspekty. Každý návrh siete a jej
zabezpečenie odráža vecné potreby a obchodné záujmy, kvôli ktorým napríklad musíme
na firewalle nechať otvorené určité porty, na servery nechať v prevádzke určité služby,
alebo musíme nechať systém bez dôležitej bezpečnostnej záplaty, pretože s ňou by sa
zrútila nejaká kriticky dôležitá aplikácia.
Návrh počítačových sietí a ich zabezpečenie sú veľmi široké a obsiahle témy.
Z tohto dôvodu moja diplomová práca môže slúžiť k nasmerovaniu čitateľa k základným
informáciám, ako vlastne taký návrh siete a jej zabezpečenie má vyzerať a na čo všetko
treba dbať.
Moje navrhované riešenie v diplomovej práci zvýši pre používateľov úroveň
poskytovaných služieb. Celkovo sa zvýši úroveň zabezpečenia informačného systému
firmy. Zároveň sa pre správcov zjednoduší správa a monitoring informačného systému
firmy. Výsledkom celého navrhovaného riešenia bude zvýšenie celkovej bezpečnosti,
funkčnosti a konsolidácie informačného systému firmy.
79
Zoznam použitej literatúry
[1] DANIELA ŠUSTEKOVÁ: Počítačové siete a Internet.
Žilinská univerzita v Žiline/EDIS-vydavateľstvo ŽU, 2007.
ISBN 978-80-8070-737-8
[2] LADISLAV SCHWARTZ: IP Siete.
Žilinská univerzita v Žiline/EDIS-vydavateľstvo ŽU, 2006.
ISBN 80-8070-504-6
[3] JOSEF SZABO: PREZENTÁCIA – Pracovný postup návrhu siete LAN
[4] ALEXANDER KLUSKA: DIPLOMOVÁ PRÁCA - Virtuálne privátne siete,
dátové komunikačné riešenia v telekomunikačnom prostredí.
Žilinská univerzita v Žiline 2005. Elektrotechnická fakulta
[5] I. STANEK, L. KOLODĚJOVÁ: PREZENTÁCIA - IP Security
[6] IPSec. http://www.security-portal.cz/clanky/jak-funguje-ipsec-.html
[7] http://www.dsl.cz/clanky-dsl/clanek-515/bezpecnost-ve-vpn-ipsec-versus-ssl
[8] ROMAN PALÍK: DIPLOMOVÁ PRÁCA – Technológie pre ochranu
prenášaných dát v počítačových sieťach.
Vojenská akadémia v Liptovskom Mikuláši 2002. Fakulta zabezpečenia
velenia
[9] S. McCLURE, J. SCAMBRY, G. KURTZ: Hacking.
Computer Press Brno 2003. ISBN 80-7226-948-8
[10] DIANE TEARE: Návrh a realizácia sietí Cisco
Computer Press, Brno 2003. ISBN80-251-022-7
[11] ROMAN MIHALOVIČ: DIPLOMOVÁ PRÁCA – Bezpečnosť vo Wi-Fi
sieťach.
Žilinská univerzita v Žiline 2008. Fakulta telekomunikácií a multimédií
[12] JAROSLAV IMRICH: DIPLOMOVÁ PRÁCA – Návrh, realizácia
a zabezpečenie firewallového systému. Slovenská technická univerzita
v Bratislave. Materiálovotechnologická fakulta v Trnave 2006
[13] http://cs.wikipedia.org/wiki/Active_Directory
[14] http://www.samuraj-cz.com/clanek/active-directory-komponenty-domain-tree-
forest-site/
80
[15] O. PRUCHA: Vše co jste chtěli vědět o VPN, ale báli jste se zeptat 2005.
http://home.zcu.cz/~ondrous/about.php?vyber=2
[16] Úvod k virtuálním privátním sítím.
http://technet.microsoft.com/cs-cz/library/cc782547.aspx
[17] http://sk.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_k
riminalita
[18] Virtuální privátní sítě. http://www.cisco.cz/index.sub.php?pid=site&typ=vpn
[19] http://www.syteli.sk/produkty/vypoctova-technika-a-pocitacove-siete/
[20] S. NORTHCUTT, L. ZELTSER, S. WINTERS, K.K. FREDERICK, R. W.
RITCHEY: Bezpečnost sítí – Velká kniha, CP Books, Brno 2005,
ISBN 80-251-0697-7
[21] http://www.svetsiti.cz
[22] http://www.root.cz/clanky/squid-kesujici-proxy-server/
[23] R. TÓTH, P. BENKO: Prezentácia – Self Defending Networks
[24] http://www.orga.sk/p.php?pid=190
[25] www.cisco.com
[26] http://packages.debian.org/sk/sid/iptables
[27] http://www.fi.muni.cz/~kas/p090/referaty/2007-jaro/ct/firewall.html#nat#nat
[28] http://www.linuxos.sk/clanok/195/index.html
81
Čestné vyhlásenie
Vyhlasujem, že som zadanú diplomovú prácu vypracoval samostatne, pod
odborným vedením vedúceho diplomovej práce Ing. Stanislava Kuľhavého a používal
som len literatúru uvedenú v práci.
Súhlasím so zapožičiavaním diplomovej práce.
V Žiline dňa 7.5.2009 podpis diplomanta
