Ova lekcija opisuje kako dizajnirati infrastrukturu za pristup mreži, skupljajući relevantne podatke, analizirajući ih i na osnovu njih dizajnirati bezbedan pristup mreži, udaljeni i bežični pristup. Još će biti reči i o strategiji autentifikacije, administracije, nadgledanju pristupa i edukaciji korisnika.
Slika 1. Vrste udaljenog pristupa
Poslovni zahtevi organizacije će imati glavnu ulogu u dizajniranju pristupa mreži. Zahtevi koji moraju da se razmotre i utvrde su:
- Zahtevi zaposlenih za virtuelnom privatnom mrežom (VPN - Virtual Private Network); da li zaposleni imaju potrebu da se povezuju na organizacijsku mrežu kada su kod kuće.
- Zahtevi za virtuelnom privatnom mrežom za dobavljače, poslovne partnere i kupce; da li oni imaju potrebe za pristupom delu i celoj mreži organizacije.
- Zahtevi zaposlenih za povezivanje na mrežu organizacije preko dial-up veze kada su kod kuće ili na putovanju.
- Zahtevi za dial-up vezu kupaca, dobavljača i poslovnih partnera sa mrežom organizacije; da li oni imaju potrebe za pristupom delu i celoj mreži organizacije preko ove veze.
- Zahtevi za anonimni pristup podacima organizacije svim korisnicima koji imaju vezu sa internetom. Ti podaci mogu biti pristupačni svima preko web pretraživača ili preko FTP protokola.
Pre nego što se odluči koje rešenje udaljenog pristupa je najprikladnije za mrežnu infrastrukturu organizacije, potrebno je razmotriti i korisničke zahteve koji se odnose na obavljanje određenih zadataka i aktivnosti dok su povezani preko udaljenog pristupa. Potražite sledeće odgovore:
- Koje zadatke i aktivnosti obavljaju zaposleni kada su povezani na mrežu sa udaljene lokacije? Da li prenose veliku količinu podataka? Da li podatke treba samo da vide ili i da menjaju? Ove informacije pomažu da se odredi metod udaljenog pristupa, potrebni protok i potrebna ovlašćenja za udaljene korisnike.
- Koje aktivnosti obavljaju poslovni partneri kada su povezani na mrežu sa udaljene lokacije? Da li prenose veliku količinu podataka? Da li podatke treba samo da vide ili i da menjaju? Ove informacije pomažu da se odredi metod udaljenog pristupa, potrebni protok i potrebna ovlašćenja za poslovne partnere koji se povezuju na mrežu sa udaljene lokacije.
- Koliko dugo će biti svaki korisnik konektovan sa udaljene lokacije. Ako udaljeni korisnik koristi mrežnu aplikaciju za koju je potrebno da ostane povezan dugo vremena, to će imati uticaja na izbor metoda udaljenog pristupa.
- Koliko korisnika je istovremeno povezano? Koliki je njihov maksimalni broj? Ako je taj broj relativno mali onda će i Dial-up metod biti dovoljno dobar.
Pre nego što utvrdite najpodesniji način udaljenog pristupa organizacijskoj mreži, morate razmotriti organizacijske sigurnosne zahteve. Potražite sledeće odgovore:
- Koji tipovi klijentskih računara treba da budu podržani? Ovo će odrediti tip VPN konekcije i metod za autentifikaciju koji je neophodan za udaljeni pristup.
- Da li će se koristiti enkripcija za zaštitu podataka kojima se pristupa? Koliko je velika važnost podataka? Da li je potrebno podatke zaštititi u toku prenosa preko Dial-up ili VPN veze? Ovi podaci će biti korisni za kreiranje dizajna bezbedne udaljene konekcije na mrežu.
- Kom delu ili delovima mreže udaljeni korisnici treba da pristupaju? Da li treba da imaju pristup celoj mreži ili samo npr. elektronskoj pošti?
Pre nego što utvrdite najpodesniji način udaljenog pristupa organizacijskoj mreži, morate razmotriti i zahteve za kooperativnošću. Utvrdite sledeće:
- Tipove servera sa kojima bi RAS server trebalo usaglašeno da funkcioniše. Na primer, organizacija može da koristi RADIUS server za autentifikaciju, sertifikacioni server ili VPN server. Informacije o ovome mogu da pomognu u određivanju tipova potrebnih protokola na RAS serveru i određivanju potrebnog hardvera i softvera.
- Tipove klijenata sa kojima RAS server treba usaglašeno da funkcioniše. Na primer klijentski računari mogu da imaju Microsoft Windows, UNIX, Macintosh, DOS ili neki drugi operativni sistem, i mogu zahtevati podršku za posebnim autentifikacionim metodama kao što su običan tekst ili PAP (Password Authentication Protocol).
- Vrste protokola pored TCP/IP protokola koji se koriste na mreži. Na primer u organizacijskoj mreži mogu da postoje operativni sistemi koji koriste protokole IPX (Internetwork Packet Exchange) ili AppleTalk protokol.
Kada prikupljate podatke za potrebe dizajna infrastrukture za udaljeni pristup razmotrite sledeće smernice:
- Prikupite prvo podatke o eventualno postojećoj infrastrukturi za udaljeni pristup, odredite koji su podaci relevantni i njih dokumentujte. Utvrdite broj i tipove udaljenih korisnika, tipove konekcija koje se koriste za udaljeni pristup i dužine trajanja sesija. Prikupite podatke o tipovima servera i klijenata koji rade u kooperaciji sa postojećim RAS serverom i na kraju prikupite informacije o korišćenim protokolima.
- Pribavite informacije od svih korisnika, to znači da je potrebno obaviti intervjue sa članovima grupe administratora, grupe udaljenih korisnika, sigurnosnih grupa, upravljačkih grupa, i svih ostalih grupa koji će biti deo dizajna udaljenog pristupa.
- Prikupite podatke vezanih za sigurnost. Glavni zadatak svakog uspešnog dizajna udaljenog pristupa je ograničavanje prava pristupa samo autorizovanim korisnicima i obezbeđivanje sigurnog prenosa podataka. Dizajn treba da uravnoteži poslovne potrebe za pristupom sa udaljenih lokacija i sigurnosne potrebe restrikcije pristupa radi bezbednosti mreže.
- Prikupite potrebe o budućim potrebama za udaljenim pristupom. Ove potrebe se razmatraju za period od tri do pet godina.
Kada se pravi dizajn udaljenog pristupa potrebno je da se utvrdi koji metod autentifikacije najbolje zadovoljava poslovne i sigurnosne potrebe organizacije. Autentifikacija udaljenih korisnika je značajan sigurnosni faktor.
Metod autentifikacije obično koristi autentifikacioni protokol koji obavlja proces pregovaranja u toku uspostavljanja veze. Windows 2003 Server podržava sledeće protokole autentifikacije i za dial-up i za VPN veze:
- PAP (Password Authentication Protocol) - koji koristi lozinke u obliku običnog teksta, podrazumevano nije uključen i predstavlja najmanje siguran protokol za autentifikaciju
- SPAP (Shiva Password Authentication Protocol)
- CHAP (Challenge Handshake Authentication Protocol) - koji je takođe podrazumevano isključen i koristi se samo u slučaju kada udaljeni klijenti podržavaju samo ovaj protokol.
- MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) i MS-CHAP 2 - Ova dva protokola su podrazumevano uključena. MS-CHAP 2 obezbeđuje veću sigurnost nego MS-CHAP i preporučljivo je da se on koristi ako ga klijenti podržavaju.
- EAP (Extensible Authentication Protocol) - Windows 2003 Server ima podršku za EAP-TLS (EAP-Transport Layer Security) i MD5-Challenge. Ovaj protokol uključuje mogućnost prosleđivanja autentifikacionih zahteva RADIUS serveru kao što je IAS (Internet Autentication Service). EAP-TLS predstavlja najsigurniji metod autentifikacije podržan u Windows 2003 Serveru.
- PEAP (Protected Extensible Authentication Protocol) - se koristi za autentifikaciju bežičnih klijenata pomoću RADIUS servera i nije podržan za dial-up i VPN vezu.
RADIUS server služi za autentifikaciju udaljenih korisnika na više RAS servera, umesto da se autentifikacija vrši na svakom RAS serveru posebno. Dobit korišćenja RADIUS servera je da se obezbeđuje centralizovana autentifikacija svih udaljenih korisnika, implementiranje grupnih polisa udaljenog pristupa jednom na IAS serveru umesto pojedinačna implementacija na svakom RAS serveru. Takođe se obezbeđuje centralizovanost korisničkih naloga i praćenje podataka o korisničkim povezivanjima.
Za dial-up i VPN vezu koristite MS-CHAP 2 protokol i korišćenje složene lozinke definisane grupnom polisom. Ako imate klijente koji ne podržavaju MS-CHAP 2, što je slučaj sa Windows 95 klijentom, uključite oba i MS-CHAP i MS-CHAP 2. Iskoristite najsigurniji protokol koji serveri i klijenti mogu da podrže.
Kada se pravi dizajn udaljenog pristupa potrebno je da se utvrdi koji metod enkripcije najbolje zadovoljava poslovne i sigurnosne potrebe organizacije.
Kod VPN veze podaci se prenose od VPN klijenta do VPN servera bezbedno tako što se enkriptuju. Enkripciju ili šifrovanje podataka je preporučljivo uvek koristiti kada se privatni podaci prenose javnom mrežom što uvek predstavlja rizik za presretanje.
Windows 2003 Server koristi MPPE (Microsoft Point-to-Point Encryption) enkripciju za PPTP (Point-to-Point Tuneling Protocol) vezu i IPSec (Internet Protocol Security) enkripciju za L2TP (Layer 2 Tuneling Protocol) vezu.
MPPE koristi Rivest-Shamir-Adleman (RSA) šifrovan javni ključ za enkripciju i dekripciju podataka za PPTP vezu.
IPSec vrši enkripciju podataka kroz L2TP vezu. Odaberite IPSec kao metod enkripcije podataka kod udaljenog pristupa ako:
- Koristite L2TP tunelovanje
- Koristite infrastrukturu javnih ključeva, odnosno PKI (Public Key Infrastructure)
Kada dizajnirate infrastrukturu za udaljeni pristup, uključite nadgledanje i praćenje u Vaš dizajn.
Nadgledanje i praćenje konekcija udaljenih pristupa i pokušaja pristupa omogućuju da utvrdite:
- Koliko je sigurna infrastruktura udaljenog pristupa
- Da li rešenje udaljenog pristupa zadovoljava potrebe trenutnih korisnika udaljenog pristupa
- Da li je postojeća infrastruktura adekvatna za zadovoljenje budućeg rasta.
Slika 2. Nadgledanje i praćenje
Mogu se upotrebiti dva načina za nadgledanje i praćenje udaljenog pristupa:
- Pomoću RADIUS servera na kome su centralizovani nalozi i autentifikacija
- Pomoću alata RAS Server Monitor
Kada dizajnirate sigurnost za infrastrukturu udaljenog pristupa sledite sledeće smernice:
- Zahtevajte od udaljenih korisnika da upotrebljavaju sigurnu VPN vezu kada koriste terminalni servis ili neku drugu tehnologiju za udaljeni pristup.
- Zahtevajte korišćenje L2TP sa IPSec-om za VPN tunele. IPSec obezbeđuje više opcija za enkripciju i dozvoljava autentifikaciju na osnovu sertifikata.
- Ograničite korišćenje modema unutar organizacijske mreže. Iskoristite grupnu polisu za isključivanje modema na računarima sa Windows 2000 ili kasnijim operativnim sistemima. Povremeno pogledajte da li na nekom računaru postoji nedozvoljen modem da se korisnici ne bi povezivali na nebezbedne mreže i izložili organizacijsku mrežu neautorizovanim korisnicima.
- Periodično pregledavajte zapise praćenja aktivnosti udaljenog pristupa. Sve dial-up aktivnosti se automatski zapisuju u tzv. praćenje sistemskih događaja (System Event Log).
- Zahtevajte korišćenje 802.1x autentifikaciju za bežične mreže. Uvek koristite najjači metod bežične autentifikacije koji je podržan od strane svih bežičnih klijentskih računara.