Uživatelské nástroje

Nástroje pro tento web

Překlady této stránky:

ipsec

Infrastruktura s dvojitým zabezpečním

Tato služba je ve stádiu návrhu, resp. experimentálního provozu, zatím je využívána pouze omezeným okruhem uživatelů. Celá koncepce se může ještě výrazně změnit.

Účel

Infrastruktura je určena ke uložení a zpracování relativně malého objemu dat, ale v režimu, kdy standardní zabezpečení z různých důvodů nestačí, např.

  • citlivá osobní data, zákonem vyžadovaná výšší úiroveň zabezpečení
  • nepublikované výsledky prestižního výzkumu

Současně je ale nevhodné použít zcela oddělenou infrastrukturu, bez možnosti vzdáleného přístupu z veřejné sítě.

Základní mechanismus

Hlavním prvkem zabezpečení je použití dvojího, zcela nezávislého mechanismu autentizace. Je-li tedy jeden z mechanismů úspěšně napaden útočníkem, neznamená to automaticky získání přístupu k datům a službám, a vzniká tak prostor ke včasné reakci na útok.

Obecné schéma infrastruktury je na obrázku

Komponenty řešení jsou:

  • Brána do zabezpečené sítě realizuje první stupeň autentizace a autorizace, při úspěšném přihlášení je vytvořeni tunel IPSEC mezi pracovní stanicí uživatele a požadovanou zabezpečenou sítí.
  • Zabezpečená síť je fyzicky nebo logicky (VLAN) oddělená síť zvenku přístupná pouze skrz bránu, a v níž jsou umístěny zabezpečené služby
  • Služby v zabezpečené síti kromě poskytnutí služby a dat specifickým protokolem realizují autentizaci a autorizaci 2. stupně. Podstatnou součástí celého konceptu je úplná nezávislost tohoto zabezpečení na 1. stupni.

Realizace

Brána

V etapě experimentálního provozu je IPSEC brána realizována na firewallu Cisco ASA5505. Tento firewll poskytuje výkon odpovídající nyní provozovaným pilotním aplikacím. V případě zájmu o tuto službu je nutné nejprve konzultovat výkonnové možnosti současného řešení.

Pro každou aplikaci bude v ISu i na IPSEC bráně založena samostatná skupina uživatelů a bude vytvořen konfigurační soubor IPSEC klietů, který bude distribuován oprávněným uživatelům.

Autentizace a autorizace 1. stupně

Brána komunikuje se serverem Radius, do něj jsou propagovány identity uživatelů (aktuálně UČO/sekundární heslo, může se změnit v návaznosti na správu identit) a skupiny z IS MU.

Autentizace a autorizace 2. stupně

Aktuálně řešena ručně, na službách spravovaný seznam uživatelů a lokální hesla, ssh klíče atd.

V případě potřeby můžeme výhledově nabídnout i nějakou formu centrální správy uživatelů. Podstatné je, aby hesla byla nezávislá na 1. úrovni autentizace (sekundární heslo v ISu).

Klienti

Windows

Pro stanice s operačním systémem Windows doporučujeme použít Cisco IPSEC klienta, který je k dispozici zde: klient pro Windows 64bit WIN64, klient pro Windows 32.bit WIN32. Po nainstalování klienta si stáhněte konfigurační soubor, který mu poskytne zřizovatel IPSEC tunelu. Konfigurační soubor nainstalujeme pomocí grafického rozhraní Connection Entries → Import. Po nainstalování konfiguračního souboru se Vám v tabulce nabízených spojení objeví nová položka se jménem Vaší skupiny. Spojení navážete kliknutím na tento řádek. Po navázání spojení vyskočí přihlašovací okénko, kde zadáte Vaše UČO a sekundární heslo z ISu.

Linux

Pro operační systém Linux je k dispozici ike daemon, který je pro většinu současných distribují k dispozici jako instalační balík. Tento IPSEC klient používá stejný konfigurační soubor, jako doporučení klienti pro Windows. Bohužel aktuální verze tohoto software nepodporuje tzv. split tunneling. To znamená, že pokud komunikujete přes IPSEC tunel, není možné současně komunikovat i mimo něj.

ipsec.txt · Poslední úprava: 2015/04/21 18:59 autor: 1158@muni.cz