sigurno povezivanje udaljenih mrežnih lokacija na...

FAKULTET EKONOMIJE I TURIZMA "DR. MIJO MIRKOVIĆ" PULA

PROJEKTNI ZADATAK Sigurno povezivanje udaljenih mrežnih lokacija na

Internetu

Andrej Smilović izvanredni student poslovna informatika

Pula, 06.02.2006

Projektni zadatak – "Sigurno povezivanje udaljenih mrežnih lokacija na internetu" 2

SADRŽAJ 1. Internet s aspekta sigurnosti ...................................................................... 3 2. Uporaba interneta u modernom poslovanju ............................................... 4 3. Moguće prijetnje u internet infrastrukturi .................................................... 5 4. Rješenje povezivanja lokacija SSH tuneliranjem i port forwarding-om ....... 5

4.1 Siguran pristup korporacijskim serverima (Web server i Mail Server)...............8 4.2 Siguran pristup računalu u korporacijskoj mreži Remote Desktop vezom.......11 4.3 Nedostaci povezivanja lokacija SSH tuneliranjem i port forwading-om............12

5. Zaključak ..................................................................................................13


1. Internet s aspekta sigurnosti

Internet je mreža kompjuterskih mreža koje komuniciraju koristeći zajedničke komunikacijske protokole. U takvoj vrsti komunikacije možemo pronaći mnogo različitih protokola, jedan od najčešćih je http protokol koji se koristi pri pretraživanju web stranica, što je jedan od načina korištenja funkcionalnosti interneta. U shemi možemo vidjeti kako se odvija proces pretraživanja interneta:

Slika 1. proces pretraživanja interneta

S obzirom da je količina sadržaja objavljenog na internetu odavno postala stvar naučne pretpostavke, a ne egzaktan podatak, internet je postao medij nesigurne komunikacije koji pred mrežne administratore postavlja sve veće zahtjeve. Veći dio interneta čine korporacijske mreže koje u svom sastavu broje od nekoliko stotina, pa do nekoliko tisuća ili čak desetaka tisuća računala. Takve mreže priključene su brzim linkovima na internet, postajući tako mete potencijalnih napada izvana.


Uzimajući u obzir spomenuto, velika vrijednost informatičke imovine korporacije mora biti zaštićena, s ciljem maksimalnog pružanja funkcionalnosti u procesu poslovanja.

2. Uporaba interneta u modernom poslovanju Tvrtke organiziraju svoju internu mrežu (intranet) u cilju organizacije, povezivanja i pristupa mrežnim resursima. Veće tvrtke registriraju svoju domenu za kasniju implementaciju unutar mreže, na poslužitelju domene, kao i van mreže u smislu podizanja web-servisa, u cilju popularizacije tvrtke. Realizacija takve mrežne strukture temelji se na klijent-server tehnologiji, kod koje nalazimo mnoštvo klijenata i određenu grupu servera koji opslužuju klijente različitim uslugama, od usluga prijavljivanja na mrežu, pa do usluge korištenja mrežnih resursa.

Slika 2. prikaz poslovne mreže

Na prikazanoj slici vidimo primjer mreže brzim linkom povezane na internet. Internet je neophodan, zbog mnogih poslovnih transakcija koje se vrše preko njega: od elektroničkog plaćanja pa do video konferencija. U modernom poslovanju korporacijska mreža može biti raspršene na više lokacija koje mogu biti udaljene i više tisuća kilometara.


3. Moguće prijetnje u internet infrastrukturi Iako je internet ogromna baza podataka, posjetitelji nisu uvijek dobronamjeni korisnici ili računalni entuzijasti. Na internetu možemo sresti mnoštvo hackera ili pravim nazivom crackera koji koristeći svoje znanje i vještinu, iskorištavaju razne propuste i nepravilno konfigurirane mrežne izlaze kako bi "upali" u tuđu mrežnu lokaciju i počinili štetu. Pred mrežne administratore postavljaju se brojni izazovi, zbog toga što moraju odrediti kompromis između zahtjeva korisnika i sigurnosti mreže, čuvati mrežu dobro zaštićenom od vanjskih napada. Na razdvojenim lokacijama postoji opasnost od "prisluškivanja" mrežnog prometa, te krađe poslovnih podataka. Postoje razne metode kojima se mogu počiniti takvi napadi, neki od njih su: - socijalni engineering – u kojem se napadač lažno predstavlja, tražeći zaboravljenu lozinku od administratora, te na taj način dobiva pristup mreži. U američkim korporacijama postoji mehanizam po kojem korisnik dobiva novu lozinku samo uz predočenje svog social security broja i potvrdu nadređenog - razni alati za skeniranje mreža – pomoću takvih alata dobivaju se informacije o strukturi mreže, IP adrese računala - ubacivanje raznih oblika virusa – od kojih su značajni trojanci - iskorištavanje raznih propusta kod pisanja software-a – Internet Explorer jedan je od primjera Kada napadač uspije uspostaviti određeni oblik kontrole nad mrežom, posljedice mogu biti velike, tehničke i financijske. Poznat je primjer bankrota tvrtke nakon kraha mreže kao posljedice takvog napada. 4. Rješenje povezivanja lokacija SSH tuneliranjem i port forwarding-om U današnje vrijeme, mreže su prilično dobro zaštićene kvalitetno konfiguriranim firewall-om, usmjerivačem sa funkcionalnošću filtriranja ili čak kombinacijom oba. Zbog toga moramo obratiti pažnju na ono što se dešava sa paketima podataka kada oni napuste mrežu i putuju internetom (unsecured link). Poznato je da u velikoj mjeri mrežni promet na internetu nezaštićen. Iz tog razloga potrebno je osigurati da podaci putuju u takvom obliku, koji će biti beskoristan napadaču ukoliko uspije doći do njih. Postoje razne metode povezivanja, a u ovom projektnom zadatku će se navesti rješenje koje je po pitanju instalacije praktično, a da bi se ostvarilo slijedeći koraci moraju se izvršiti na mrežnoj lokaciji: - podizanje SSH (Secure Shell) servera i konfiguracija korisnika za prijavljivanje - instalacija SSH klijenata na računala udaljenih lokacija - konfiguracija SSH klijenata kako bi mogli pristupati mrežni resursima putem sigurnog linka preko interneta U ovom primjeru odabrani klijent je PuTTY.exe, jednostavan program za SSH tuneliranje i port forwarding. Program je lagan, bez instalacijske rutine, učitava se direktno u radnu memoriju računala, komunicira na portu 22, zbog toga taj port mora biti otvoren na ulazu u mrežnu lokaciju. Promet koji egzistira između klijenta i servera šifriran je 128-bitnom enkripcijom.


Radni izgled programa je slijedeći, prikazane se 3 različite kartice postavki koje su nam neophodne u ostvarivanju tunel konekcije do resursa unutar korporativne mreže. Slika 3. kartica Session

Kartica “Session” nam je polazna točka u konfiguraciji SSH klijent-a PuTTY, u njoj ćemo upisati IP adresu ili naziv SSH servera, računala koji će nam proslijeđivati promet, i pri tom se uvjeriti da je označen radio-button “SSH”, te u kućicu “Port” unesena brojka 22. Slika 4. kartica SSH

Na kartici SSH obratiti ćemo pažnju na dvije stvari: - označiti kućicu “Enable compression” zbog bolje iskoristivosti propusnosti mreže - provjeriti SSH protocol version koji će za veći stupanj sigurnosti biti “2”


Slika 5. kartica Tunnels

Kartica Tunnels na kojoj ćemo konfigurirati tuneliranje konekcija odnosno proslijeđivanje portova, u poljiima Source port i Destination. Source port je port na korisnikovom računalu kojemu će se proslijeđivati veze namijenjene SSH tuneliranju. Destination prikazuje računalo kojemu će SSH server proslijediti promet sa korisnikovog računala (porta).


4.1 Siguran pristup korporacijskim serverima (Web server i Mail Server) Korisnik želi sa udaljene lokacije pristupiti slijedećim resursima iza firewall-a: - Mail server - Web server prema slijedećoj topologiji: Slika 6. povezivanje lokacija sigurnim linkom

Kako bi korisnik mogao pristupiti navedenim resursima i pri tome sačuvati sigurnosti podataka bitno je osigurati: 1) pristup SSH serveru 2) konfiguracija potrebnih "tunela", za pristup Mail Serveru i Web Serveru


Slika 7. pristup SSH serveru

Pristup SSH serveru postaviti ćemo u svojstvima PuTTY-a, IP adresa SSH servera prema topologiji (slika 6.) je 67.36.244.202. Upisom vrijednosti IP adrese konfigurirali smo putanju do sigurnog "gateway-a" u korporacijsku mrežu, SSH servera. Time je uspostavljen temelj sigurne komunikacije, jer će sav mrežni promet na relaciji udaljeni klijent – serveri biti šifriran. Slijedeći korak je konfiguracija tunela do Web Server-a i Mail Server-a. Http komunicira na portu 80 znači, port 80 će biti source port. Odredište je Web Server 192.168.33.4. Unijećemo slijedeće vrijednosti u polja Source port i Destination: Slika 8. konfiguracija potrebnih tunela za pristup serverima


Klikom na Add kreirali smo tunel vezu klijenta i web-servera. Nakon potvrde ove postavke u trenutku pokretanja pretraživača, i upisivanja http://localhost u polje Address bar, na temelju gore prikazane postavke izvršiti će se slijedeće: 1) uspostaviti će se veza za SSH serverom koji će biti siguran gateway za korporativnu mrežu 2) s obzirom da je zatražena konekcija na portu 80, izvršiti će se port forwarding rule klijentskog računala 192.168.0.104 i proslijediti je putem SSH servera na IP adresu 192.168.33.4, port 80, odnosno na web server korporativne mreže 3) podaci pohranjeni na web-serveru šalju se korisniku i šifriranom obliku nemogućem za čitanje Isti postupak primijeniti ćemo i kod kreiranja tunel veze klijent – Mail Server: Slika 9. konfiguracija tunela potrebnih za pristup serverima

Korisnik će sada imati pristup web serveru i svom sandučiću unutar korporacijske mreže. Protokol slanja pošte na portu 25 i protokol za primanje pošte na portu 110 biti će na isti način obrađeni i pomoću port forwarding rule-a proslijeđeni preko SSH servera na odredište, Mail Server. Zahtjev za sigurnošću komunikacija između udaljenih lokacija ostvaren je na praktičan način.


4.2 Siguran pristup računalu u korporacijskoj mreži Remote Desktop vezom SSH tuneliranje može se upotrijebiti za pristup desktop-u korisnikovog računala u koorporacijskoj mreži. Operativni sustav Windows XP sadrži ugrađenog klijenta za Remote Desktop vezu, kao i sučelje za pokretanje takve veze. Da bi ostvarili takvu vezu “tunelirati” će se Remote Desktop port na udaljenom klijentu kroz SSH server na korisnikovo računalo PC1 u korporacijskoj mreži prema slijedećoj topologiji: Slika 10. povezivanje lokacija sigurnom linkom

Remote Desktop aplikacija komunicira na portu 3389, međutim korisno je napomenuti da će ovisno o operativnom sustavu vrijednosti u “Source port” polju biti slijedeće: - 3390: za Windows XP sa Service Pack-om 2 - 3389: za Windows XP bez Service Pack-a 2 - 3389: ostale verzije Windows-a


Sukladno prijašnjem podešavanju tunela do servera u korporacijskoj mreži konfiguracija će izgledati ovako (Slika 9.) Slika 9. konfiguracija tunela za Remote Destop vezu

Korisniku ostaje da na svom računalu “prozove” sučelje za Remote Desktop vezu:

upiše IP adresu localhost-a i klikom na Connect omogućen mu je pristup računalu u korporacijskoj mreži.


4.3 Nedostaci povezivanja lokacija Secure Shell tuneliranjem i port forwading-om Do sada smo projektni zadatak temeljili na beneficijama koje dobivamo konfiguracijom sigurnog linka, odnosno na šifriranom prometu kroz komunikacijski kanal. Pored prednosti koje takav oblik komunikacije pruža u internet prometu, moramo navesti i nedostatke odnosno, jedan oblik "trade-off-a" na štetu propunosti kanala i hardware-skih resursa. Na nižem nivou, odnosno na mrežnom sloju OSI referentnog modela, poznato je da paket podataka u šifriranom obliku nešto "teži" od paketa koji se prenosi mrežom u "plain" IP obliku. Paket je teži zbog toga što se u ovom slučaju u IP header smješta i šifriran podatak namijenjen prenosu, te dodatni podaci koji opisuju metodu enkripcije, način autentikacije i dodatne podatke o enkripciji. Sve navedeno vodi do uvećanja paketa za određeni broj byte-ova, a kada se u obzir uzme streaming podataka kroz komunikacijski kanal, lako dolazimo do zaključka kako je propusnost segmenta mreže opterećena za dodatnu količinu podataka. Na hardware-skom nivou dolazimo do dodatnog opterećenja centralne procesorske jedinice koja u suradnji sa putty-em učitanim u radnu memoriju računala "prevodi" mrežni promet u čitljiv "oblik" putem složenih enkripcijskih algoritama. Zbog toga je potrebno da se prije podizanja takve mrežne komunikacije ukalkuliraju dodatni mrežni "troškovi", kao i obrati pažnja na procesorsku snagu "učesnika" u takvoj komunikaciji.


5. Zaključak SSH port forwarding ili TCP/IP tuneliranje veze je proces u kojemu se inače nesigurna TCP/IP veza “provlači” kroz siguran SSH link, na taj način štiteći vezu od mrežnih napada. U ovom projektnom zadatku obrađeno je rješenje povećanja sigurnosti komunikacije između udaljenih mrežnih lokacija preko interneta. Pretpostavke takvog rješenja je instalacija SSH servera i konfiguracija PuTTY klijenata. Ponekad je takvo rješenje najzgodnije mrežnim administratorima, jer ne iziskuje veliku intervenciju na mreži i uz instaliran SSH server, korisnike na udaljenim lokacijama je relativno jednostavno priključiti na mrežne resurse. U okruženju velike mreže, koju čini skupa mrežna oprema, poželjno je imati takvu pričuvnu varijantu, alternativu VPN vezi. Druge prednosti takvog načina komunikacije je prenos plaintext prometa, primjerice POP3 i SMTP (takođe obrađeno u ovom projektnom zadatku), sigurnim linkom do udaljene lokacije. Nakon svega prikazanog krajnji rezultat je slijedeći:

Sav promet između korporacijske mreže i udaljene lokacije prenesen je SSH tunelom, na taj način ispunjujući zahtjev o sigurnom prijenosu podataka između raspršenih lokacija.

sigurno povezivanje udaljenih mrežnih lokacija na...

Documents