System bezpiecznego dostępu do danych z wykorzystaniem modelu Bring Your Own Device 4

Transkrypt

1 Paweł Stąpór 1, Dariusz Laskowski 2, Piotr Łubkowski 3 Wojskowa Akademia Techniczna, Wydział Elektroniki, Instytut Telekomunikacji System bezpiecznego dostępu do danych z wykorzystaniem modelu Bring Your Own Device 4 Współczesne lata charakteryzują się dynamiczną ewolucją technik i technologii znajdujących praktyczne zastosowanie w zarówno w ujęciu pojedynczego człowieka jak i instytucjonalnych. Szczególnego znaczenia nabiera ten drugi obszar ze względu na przesyłanie danych między różnego rodzaju instytucjami rządowymi, służbami mundurowymi, uczelniami oraz w sektorze przemysłu, itp. Dane te w wielu przypadkach są danymi niejawnymi tzw. danymi wrażliwymi i podlegają ochronie z mocy ustaw lub stanowią własność wrażliwą biznesowo. Uwzględniając powyższe podczas transmisji danych, szczególnie danych wrażliwych, koniecznym jest zapewnienie ich bezpieczeństwa, poufności i integralności. To szczególnie trudne przedsięwzięcie ze względu na heterogeniczność urządzeń (końcowych, dostępowych, transportowych, komutacyjnych i oferujących usługi, itp.). Dodatkowym utrudnieniem jest wielopoziomowość uprawnień do wytwarzania i przetwarzania, przechowywania i aktualizacji oraz przekazywania danych. Dlatego też koniecznym jest prowadzenie ciągłego w czasie (ang. Real Time, RT) monitoringu systemu obiegu danymi oferującego możliwość częściowego lub całkowitego ograniczenia dostępu do danych nieuprawnionym osobom. Ważnym jest także, aby użytkownicy danego systemu zawierającego dane wrażliwe nie mogli tych danych wynosić poza wyznaczony teren (wykraść) i wykorzystać w sposób niezgodny z ich przeznaczeniem czy też zapisami legislacyjnymi. Ten liczny i zmienny w czasie zbiór determinant jest realizowalny poprzez systemy i sieci telekomunikacyjne i teleinformatyczne. Oczywistym jest również, że klasyczne środowiska sieciowe muszą być wspierane dedykowanymi mechanizmami zapewniającymi niezawodność, jakości i bezpieczeństwo dla użytkowników wykorzystujących dostęp stacjonarny ze stałego miejsca dyslokacji i użytkowników mobilnych pracujących w domu lub u klienta. To właśnie zagwarantowanie bezpieczeństwa danych dla pracowników mobilnych jest popularnym obszarem badań naukowych i prac wdrożeniowych. Artykuł wpisuje się również w te trendy. Autorzy postanowili przeanalizować modelu Bring Your Own Device (BYOD) umożliwiający stosowanie prywatnych urządzeń mobilnych, jako narzędzi do realizacji usług, niezależnie od typu interfejsu dostępowego (przewodowego, radiowego) i operatora zasobów transportowych (sieci teleinformatycznych czy też radiokomunikacyjnych). Model Bring Your Own Device został opracowany dla potrzeb zapewnienia dostępu dowolnym urządzeniom, jakimi dysponują uprawnieni użytkownicy do zasobów sieciowych organizacji (przedsiębiorstwa, itp.), tj. laptopy, smartfony czy tablety, które mogą być niejednokrotnie wydajniejsze od urządzeń udostępnianych przez pracodawcę. Dzięki modelowi BYOD pracownicy mogą realizować zadania wynikające ze swoich obowiązków na prywatnych urządzeniach niezależnie od miejsca i dyslokacji oraz uwarunkowań sieciowych (co została zasygnalizowane we wstępie). Użytkownik ma zapewniony dostęp do sieci w sposób przewodowy (np. z wykorzystaniem standardów Fast Ethernet lub Gigabit Ethernet), a także bezprzewodowy używając standardów sieci WLAN (tj n, ac/d) lub poprzez sieć mobilną (np. 3G/4G, WiMax, WiMax-2, LTE, LTE-A, itp.). Jedyną wadą tego modelu jest możliwość nie- 1 inż. P. Stąpór, student, Wojskowa Akademia Techniczna, Wydział Elektroniki, Instytut Telekomunikacji, ul. Gen. S. Kaliskiego 2, Warszawa, pstapor@wat.edu.pl. 2 dr hab. inż. D. Laskowski, Broker Innowacji, Wojskowa Akademia Techniczna, Wydział Elektroniki, Instytut Telekomunikacji, ul. gen. S. Kaliskiego 2, Warszawa, dlaskowski@wat.edu.pl. 3 dr inż. P. Łubkowski, adiunkt n-d, Wojskowa Akademia Techniczna, Wydział Elektroniki, Instytut Telekomunikacji, ul. gen. S. Kaliskiego 2, Warszawa, dlaskowski@wat.edu.pl. 4 Artykuł recenzowany. 1471

2 przestrzegania przez pracowników polityki bezpieczeństwa, ale to zdarzenie istnieje dla każdego rozwiązania sieciowego, oraz niewłaściwe zabezpieczone urządzenia przenośne. Prezentowany w tym artykule przykładowy system bezpieczeństwa z wykorzystaniem modelu BYOD został przestawiony na przykładzie zastosowanie tego rozwiązania w służbie porządkowej - Policji (Rys. 1). Bazy danych policji zawierają wiele danych o obywatelach i różnych sprawach, które są prowadzone przez funkcjonariuszy. Wiadomo także, ze dostęp do tych danych jest ograniczony i selektywny, a dla zwykłego Kowalskiego czy Nowaka niemożliwy. Dlatego też system powinien zapewniać bezpieczeństwo danych oraz umożliwiać dostęp tylko określonym osobom. Sam system a także połączenia pomiędzy siecią a użytkownikiem powinny być odporne na ataki hakerów tj. np.: podsłuchiwanie (ang. sniffing), przechwycenie sesji (ang. session hijacking) czy analizę sieci (ang. spoofing). Komenda Główna Policji Sieć mobilna Komenda Wojewódzka Policji Komenda Powiatowa Policji Rys. 1. Przykładowa architektura systemu wykorzystującego model BYOD. Źródło: opracowanie własne. Właściwe skonfigurowanie sieci teleinformatycznej oraz zastosowanie jej urządzeń podnoszących bezpieczeństwo może w znaczący sposób podwyższyć poziom ochrony sieci oraz danych również danych wrażliwych w niej przechowywanych. Przykładowym rozwiązaniem może być zastosowanie zaawansowanego routera z funkcją zapory sieciowej (np. klasy Cisco ASA) czy skonfigurowanie połączeń w ramach wirtualnych sieci prywatnych VPN (ang. Virtual Private Network) z protokołami SSL (ang. Secure Socket Layer) lub IPsec (ang. Internet Protocol Security) czy też Virtual Router lub BGP (ang. Border Gateway Protocol) / MPLS (ang. Multiprotocol Label Switching) między urządzeniami sieciowymi. Często występują sytuacje, gdy w czasie rzeczywistym istnieje potrzeba uzyskania szybkiego dostępu (przesłania) dużej liczby danych (xgb). Dzięki zastosowaniu najnowszych standardów możliwe jest transmitowanie danych z przepustowością nawet do 1Gb/s dla łączy przewodowych (Gigabit Ethernet) skrętki kategorii 5e / 6 oraz bezprzewodowych (802.11ac lub ad). Model BYOD jest techniką elastyczną i może być implementowany na wiele sposobów w zależności od zapotrzebowania determinowanego zmiennością obciążenia strumienia danych generowanego przez użytkowników i wynikającego z procesu sterowania i monitorowania ruchu. BYOD dynamicznie w czasie adoptuje dostęp i przydzielanie przepływności np. dla usługi synchronizacji plików między serwerem a klientem zwanej Work Folders. To szczególnie ważna usługa warunkująca docelową funkcjonalność pracy bieżącej organizacji jak również wspiera ona proces archiwizacji danych w składnicach informacji. Jej funkcjonowanie jest zbliżone do powszechnie znanych i stosowanych takich aplikacji jak Dropbox czy OneDrive. Dodatkową i zasadniczą zaletą, wyróżniającą tę usługę spośród innych jest to, że dane przechowywane są w redundantny sposób tzn.: 1472

3 1. wersja podstawowa umiejscowiona jest w zasobach lokalnych na serwerze w domenie usługowej farmy serwerów w strefie zdemilitaryzowanej - DMZ, 2. wersja zapasowa lokowana jest w dowolnym innym miejscu. Usługa Work Folders może zostać uruchomiona na serwerze o standardowej mocy obliczeniowej z systemem Windows rodziny Serwer rodzaju 2012 R2. Zaleca się, aby urządzenia pracowników posiadały systemem Windows 8.1 wówczas to zapewniony jest dostęp. Natomiast bezpieczeństwo (tzn. uwierzytelnienie) osiąga się przez zainstalowanie certyfikatu wygenerowanego przez administratora na serwerze 2012 R2. Otrzymanie wiarygodnych i powtarzalnych wyników umożliwiających wypowiadanie się o funkcjonalności modelu BYOD wymagało opracowania metodyki badań zawierającej reprezentatywne dane wejściowe, zmienne scenariusze badawcze, zdarzenia sieciowe oraz stochastyczność i ergodyczność procesów oraz relacji. Środowisko testowe, które zostało wykorzystane do analizy bezpieczeństwa modelu Bring Your Own Device, składało się z: 1. modelu wykonanego w symulatorze GNS z wykorzystaniem narzędzi wirtualizacji sieciowej tj.: vmware, itp. do sprawdzenia poprawności konfiguracji stacji sieciowych, 2. test bedu zawierającego rzeczywistą platformę sprzętowo-programową i urządzenia renomowanych producentów sieciowego sprzętu teleinformatycznego (Rys. 2) do walidacji funkcjonalności modelu BYOD. Do konfiguracji badanej sieci teleinformatycznej użyto powszechnie użytkowane urządzenia sieciowe, z których ważniejsze to: routery Cisco rodziny 28XX i 29XX, 24 portowe przełączniki 3COM rodziny Baseline 22XX, routery bezprzewodowe Dynamode R-ADSL-411N i dwa serwery Hewlett-Packard rodziny Proliant DL 360 generation 5 z Windows Serwer 2012 R2 z usługi m.in. Active Directory, DNS i Work Folders itp. Poufność komunikacja osiągnięto poprzez tunele VPN wykorzystujące protokół SSLv3.0. Architektura ta zapewnia użytkownikowi dostęp przewodowy i radiowy. Na urządzeniu klienta zainstalowany był system operacyjny Windows 8.1 a przewodowa komunikacja z siecią odbywała się przez interfejs sieciowy standardu Fast Ethernet, natomiast bezprzewodowa z wykorzystaniem interfejsu standardu n. Serwer 1 R1 Serwer 2 R2 R3 Rys. 2. Architektura badanej sieci modelu BYOD. Źródło: opracowanie własne. 1473

4 Dostęp przez sieć mobilną został zastąpiony dostępem radiowym. Decyzja to została podjęta na podstawie tego, że w architekturze sieci mobilnej mogą być wykorzystane femtokomórki lub pikokomórki, które są częścią sieci heterogenicznej łączącej sieć 3G/4G z siecią teleinformatyczną, a zasada ich działania jest zbliżona do routerów bezprzewodowych. Metodyka badań Badania modelu BYOD (Rys. 2) w test będzie zostały przeprowadzone przy wykorzystaniu generatora ruchu (Candela Technologies: LANforge-FIRE Stateful Network Traffic Generator i LANforge ICE), analizatora pakietów (Wireshark) narzędzia do wartościowania ruchu (JPerf) Przykładowe ustawienia ujęto w tabeli (Tab. 1). Tab. 1 Parametry klienta i serwera programu JPerf. Parametr Klient Serwer Tryb programu JPerf Generator zapotrzebowań Realizator zapotrzebowań Adres serwera Port Strumienie równoległe 1 - Czas transmisji 300 sekund - Protokół TCP TCP Źródło: opracowanie własne na podstawie program JPerf. Szczegółowej analizie poddano uwierzytelnienie użytkownika do ogólnie dostępnych zasobów sieci i w dalszym etapie dopuszczenie do usług modelu BYOND tj. Work Folders i pozostałych. Podczas realizacji scenariuszy pozyskiwane i analizowane były pakiety z interfejsu przewodowego i radiowego. Programem JPerf zbadano natomiast zmienność wartości przepustowość łączy uprawnionych użytkowników. Wyniki badań W oparciu o zarejestrowany ruch sieciowy można prześledzić sposób, w jaki przebiega uwierzytelnienie do usługi Work Folders, a także synchronizacja plików. Można również sprawdzić czy i jak obie operacje są zabezpieczone. Przed nawiązaniem połączenia między serwerem a klientem wykonywana jest synchronizacja tzw. handshake protokołu TCP (ang. Transmission Control Protocol). Podczas negocjacji parametrów połączenia klient-serwer poprawnie wymieniane były min.: informacje z listą obsługiwanych przez klienta typach szyfrowania, wygenerowany klucz publiczny, informacje o certyfikacie na podstawie, którego klient zostaje uwierzytelniony a także informacje o tym jak dane będą szyfrowane przez serwer. Na koniec negocjacji połączenia klient i serwer przełączają się na transmisję szyfrowaną. Przechwycone pakiety potwierdziły poprawność zestawiania, utrzymania i zamykania łączy w modelu BYOD. W pierwszej kolejności na urządzeniu klienta aktualizowane są pliki znajdujące się na serwerze. Następnie przesyłane są do serwera pliki użytkownika. W przypadku transmisji dużych rozmiarów plików dane są formatowane na części a następnie w węźle odbiorczym ponownie składane. Pakiety szyfrowane były z wykorzystaniem: algorytmu szyfrowania RSA z kluczem publicznym, symetrycznego szyfru blokowego 128 bitowego AES (ang. Advanced Encryption Standard) i 256-bitowej funkcji skrótu SHA (ang. Secure Hash Algorithm). Dzięki temu niepożądana osoba, która przechwyci transmisję danych, będzie miała zbyt mało czasu na ich odczyt. Liczność wykonanych testów i dokonana analiza umożliwiła zebranie danych oraz zaprezentowanie ich w formie graficznej (Rys. 3). Średnia wartość przepustowość dla łącza przewodowego wyniosła 92 Mb/s - zadawalający wynik, gdyż wartość teoretyczna dla standardu Fast Ethernet wynosi 100 Mb/s. W przypadku łącza bezprzewodowego średnia wartość wyniosła 83 Mb/s, a wartości chwilowe osiągały wartość z przedziału ( ) Mb/s. W porównaniu do wartości teoretycznej dla zastosowanego routera wg standardu n wynoszącej 150 Mb/s jest to wynik satysfakcjonujący. Wpływ na niższą wartość miały zakłócenia wywołane przez sieci bezprzewodowe znajdu- 1474

5 jące się w pobliżu miejsca badania. Pomiary zostały wykonane w kanale radiowym, w którym było najmniej zakłóceń. Rys. 3. Przepustowość łącza radiowego (WiFi) i przewodowego (LAN) w funkcji czasu. Źródło: opracowanie własne. Wnioski Celem artykułu było przedstawienie przykładowego systemu bezpiecznego dostępu do danych z wykorzystaniem modelu BYOD. Z przeprowadzonej analizy wynika, że model BYOD oferuje bezpieczny dostęp w zakresie uwierzytelnienia i poufności. Wykorzystuje w tym celu protokół SSL, algorytmy szyfrowania i funkcję klucza publicznego. Podszycie się pod użytkownika korzystającego z usługi Work Folders na innym urządzeniu, pomimo znajomości loginu i hasła jest niemożliwe ze względu na brak zainstalowanego certyfikatu. Poufność osiągnięto przez zastosowanie VPN. Na podstawie badań przepustowości można stwierdzić, że użytkownik korzystający z modelu BYOD może uzyskać oczekiwany dostęp do plików o różnych rozmiarach. To dość istotne, jeżeli dla klienta liczy się czas, np. przy pościgu przestępcy oczekuje się błyskawicznego uzyskania wszystkich danych o ściganym. Model Bring Your Own Device ze względu na dynamiczny rozwój technologii może być implementowany na wiele różnych sposobów. Przedstawiona propozycja systemu może być rozbudowywana o nowe usługi, umożliwiające większą funkcjonalność systemu. Rozwijana może być również infrastruktura sieciowa, np. dodatkowe zapory sieciowe (ang. firewall) czy wprowadzanie urządzeń zgodnych z najnowszymi standardami. Wszystko to jest uzależnione od wymagań administratora oraz użytkowników końcowych. 1475

6 Streszczenie Przedstawiony w artykule system bezpiecznego dostępu do sieci pokazuje przykładowe zastosowanie modelu BYOD w Policji zapewniając bezpieczeństwo transmisji i dostępność danych. System ten został przebadany, poddany analizie i przedstawiono reprezentatywne wyniki. Abstract A Bring Your Own Device model system of secure access to the data The article presents system for secure access to the network with application of BYOD model. It ensure transmission security and data availability for the Police units. This system has been tested and analyzed. The paper shows also representative results. LITERATURA / BIBLIOGRAPHY [1]. Anderson N., Cisco Bring Your Own Device - Wolność wyboru urządzeń bez narażania sieci komputerowe, CISCO, Sierpień [2]. dostępna r. [3]. dostępna r. [4]. dostępna r. 1476