PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część II. Polityka bezpieczeństwa systemu ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: support@clico.pl, orders@clico.pl.; Ftp.clico.pl.; http://www.clico.pl
Spis treści 1. OCHRONA KOMUNIKACJI RADIUS I TACACS+ 3 2. POLITYKA BEZPIECZEŃSTWA RADIUS I TACACS+ 4 3. DOSTĘP DO USŁUG SERWERÓW ACTIVPACK 7 4. LICZBA NIEUDANYCH PRÓB UWIERZYTELNIANIA 9 5. ALARMOWANIE PERSONELU ZARZĄDZANIA ACTIVPACK 10 W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w dokumencie produktów prosimy o kontakt: support@clico.pl Copyright by CLICO Centrum Oprogramowania, 1991-2001. 2
1. Ochrona komunikacji RADIUS i TACACS+ Urządzenia dostępowe do zasobów i aplikacji systemu informatycznego (np. Firewall, rutery, serwery WWW) korzystają z usług serwerów ActivPack za pomocą protokołów RADIUS i TACACS+. Komunikacja RADIUS i TACACS+ jest zabezpieczona kryptograficznie. Wymagane jest ustalenie w konfiguracji urządzeń dostępowych oraz serwera ActivPack tajnych kluczy (RADIUS shared secret, TACACS+ shared secret). Uwaga: Wpisane na serwerach ActivPack klucze (shared secret) do ochrony komunikacji RADIUS i TACACS+ należy także wpisać w urządzeniach dostępowych, które będą korzystały z usług ActivPack. Komunikacja RADIUS i TACACS+ z serwerem ActivPack powinna zostać dozwolona na istniejących w sieci urządzeniach typu Firewall. Domyślnie serwer RADIUS jest dostępny na porcie 1812/UDP, zaś serwer TACACS+ na porcie 49/TCP. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 3
2. Polityka bezpieczeństwa RADIUS i TACACS+ ActivPack jest pełnowartościowym serwerem zabezpieczeń AAA: Authentication: uwierzytelnianie (kim jest użytkownik?), Authorization: autoryzacja (jakie użytkownik ma uprawnienia?), Accounting: rozliczanie (jakie działania wykonał użytkownik?). Parametry AAA dla serwerów RADIUS i TACACS+ definiowane są w tzw. słownikach (dictionary). Urządzenia dostępowe różnych producentów (np. Cisco, Nortel, Shiva) posiadają zwykle specyficzne parametry AAA, które można uwzględnić w polityce bezpieczeństwa serwera ActivPack. Ustalenie domyślnej polityki bezpieczeństwa ActivPack odbywa się w następującej kolejności: 1/ Definiujemy domyślne profile uwierzytelniania Company Profiles Authentication New AH Profile: hasła dynamiczne w trybie synchronizacji, Copyright by CLICO Centrum Oprogramowania, 1991-2001. 4
hasła dynamiczne w trybie Wyzwanie-Odpowiedz (Challenge-Response), hasła statyczne. 2/ Definiujemy domyślne profile autoryzacji RADIUS i TACACS+. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 5
3/ Definiujemy domyślne profile rozliczania RADIUS i TACACS+. Uwaga: Utworzone powyżej profile AAA można poddawać modyfikacjom w zależności od stosowanych urządzeń dostępowych oraz wymagań polityki bezpieczeństwa instytucji. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 6
3. Dostęp do usług serwerów ActivPack Dostęp do usług serwerów ActivPack dla innych urządzeń i systemów jest realizowany przez zdefiniowane w konfiguracji serwera punkty dostępu o nazwie "Gate" (patrz rysunek). Definicja "Gate" zależy przede wszystkim od urządzeń, które będą korzystały z usług serwera ActivPack oraz specyficznych wymagań bezpieczeństwa. W konfiguracji Gate należy ustalić: protokół dostępu do serwera (RADIUS lub TACACS+), profile polityki bezpieczeństwa AAA, adresy IP urządzeń, które będą miały prawo korzystać z usług serwera. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 7
Dla przykładu, konfiguracja Gate dla systemu zabezpieczeń Check Point VPN-1/ FireWall-1 i urządzeń Cisco odbywa się w następujący sposób: 1/ Dodajemy nowy obiekt Gate w menu Company Servers <nazwa serwera> New Gate: dla systemu zaporowego Check Point VPN-1/FireWall-1 dla urządzeń Cisco Uwaga: Jeżeli z jakiegoś powodu nie chcemy wykonywać kontroli dostępu do usług serwera ActivPack to pole "Authorized remote IP names or addresses" pozostawiamy puste. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 8
4. Liczba nieudanych prób uwierzytelniania Parametr serwera ActivPack Max. num. of tries oznacza maksymalną liczbę nieudanych prób uwierzytelniania, jaką użytkownik może wykonać, zanim jego konto zostanie zablokowane. Ustawienie to ma za zadanie przeciwdziałanie atakom mającym na celu odgadnięcie hasła użytkownika (np. poprzez atak brutalny). Powyższe ustawienia można także wprowadzać dla zdefiniowanych grup użytkowników: Company Users <grupa> Define group max. num. of tries. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 9
5. Alarmowanie personelu zarządzania ActivPack Informacja o zablokowanych użytkownikach na skutek wielu nieudanych prób logowania może zostać odczytana z logu serwera ActivPack lub w razie potrzeby przesłana do administratora za pomocą protokołu SMTP (np. poprzez wiadomość pocztową, Pager, SMS). Ustawienia te dokonywane są w konfiguracji serwera w panalu: Copyright by CLICO Centrum Oprogramowania, 1991-2001. 10