Windows Server 2008 w strategii „Defense in Depth”

Opublikowano: 7 stycznia 2008

Zawartość strony

	Wstęp
	Strategia „Defense in Depth”
	Bezpieczeństwo fizyczne
	Bezpieczeństwo sieci granicznej
	Bezpieczeństwo sieci wewnętrznej
	Bezpieczeństwo jednostki centralnej
	Bezpieczeństwo danych
	Podsumowanie

Wstęp

Strategia bezpieczeństwa „defense in depth” polega na warstwowej ochronie sieci informatycznej. Jeżeli jedna z istniejących barier (warstw) ochronnych zostanie pokonana, to atakujący natrafia na kolejną warstwę, zawierającą następne środki przeciwdziałania atakowi.

Zwiększa to prawdopodobieństwo wykrycia i identyfikacji atakującego i stwarza możliwość zastosowania dodatkowych środków ochrony. W artykule przedstawiono przegląd różnych rozwiązań i funkcji, związanych z bezpieczeństwem oraz udoskonalenia wprowadzone w systemie Windows Server 2008. Omówiono także sposoby ich wykorzystania w strategii „defense in depth” w organizacji użytkownika.

Uwielbiam gry strategiczne, w które można grać w czasie rzeczywistym. W ostatnim okresie jestem całkowicie pochłonięty Age of Empires III. Ta gra nie tylko uczy, jak ważne jest utrzymanie ekonomicznej równowagi, aby móc stopniowo budować mocną armię, ale daje graczowi możliwość przyjrzenia się w praktyce koncepcji „defense in depth”. Wiedza na temat zasad tej strategii i jej zastosowania w symulacji pola walki pomogła mi w wykorzystaniu jej zalet do ochrony systemów sieciowych.

 Do początku strony

Strategia „Defense in Depth”

„Defense in depth” jest znaną strategią wojskową, polegającą na spowolnieniu posuwania się przeciwnika, poprzez stworzenie kolejnych kręgów obrony (warstw) – zamiast jednej mocnej linii.

W kategoriach bezpieczeństwa sieci, strategia „defense in depth” polega na zastosowaniu warstw obronnych, ułożonych kolejno w sieci w taki sposób, że przebicie się przez jedną z nich prowadzi jedynie przeciwnika do kolejnej warstwy, zawierającej następne środki przeciwdziałania atakowi. Warstwowa struktura obrony zapobiega bezpośredniemu atakowi na najbardziej wartościowe dane i kluczowe elementy systemu, zwiększa szanse na wytropienie atakującego oraz daje obrońcom – w przypadku kontynuacji ataku – więcej czasu na formowanie obrony w miejscach, gdzie jest ona najbardziej potrzebna.

Rys. 1. Kolejne warstwy strategii obrony „Defense in Depth”.

W strategii „defense in depth” stosowane są następujące warstwy obrony:

• Dane: Docelowy obiekt ataku (włącznie z bazami danych atakowanego użytkownika, informacjami na temat usługi Active Directory, dokumentami itp.).
• Aplikacja: Oprogramowanie przetwarzające dane, które są docelowym obiektem ataku.
• Jednostka centralna/Host: Komputery, w których uruchamiane są aplikacje.
• Sieć wewnętrzna: Sieć w korporacyjnej infrastrukturze IT.
• Granica zabezpieczeń/sieć graniczna: Struktura (sieć) łącząca korporacyjną infrastrukturę IT z innymi sieciami, np. z użytkownikami zewnętrznymi, partnerami lub Internetem.
• Elementy fizyczne: Materialne, namacalne elementy infrastruktury informatycznej (serwery, dyski twarde, przełączniki sieciowe, zasilanie itp.).
• Zasady, Procedury, Świadomość: Komplet zasad zarządzania strategią bezpieczeństwa w każdej organizacji. Bez tej warstwy cała strategia jest niewiele warta.

Jednym z najważniejszych celów projektu systemu operacyjnego Windows Server 2008 było stworzenie możliwie najbardziej bezpiecznego produktu, któremu równocześnie towarzyszyłyby nowe, udoskonalone funkcje i rozwiązania w zakresie bezpieczeństwa. W następnych rozdziałach przeprowadzono analizę, w jakim stopniu rozwiązania te mieszczą się w strategii „defense-in-depth”.

 Do początku strony

Bezpieczeństwo fizyczne

Chociaż funkcje bezpieczeństwa zastosowane w Windows Server 2008, przedstawione niżej, nie zapobiegają fizycznemu atakowi na zasoby sieci użytkownika (np. w sytuacji, gdy ktoś ukradnie serwer lub twardy dysk), to jednak pomagają w obniżeniu ryzyka związanego ze skutkami udanego ataku fizycznego.

Read-Only Domain Controller (RODC). Ta nowa funkcja usługi Active Directory przypomina rozwiązanie, znane jako kontroler kopii domen (backup domain controller), stosowane w Windows NT, gdyż przechowuje kopię bazy danych katalogów w trybie tylko do odczytu. Dodatkowo, RODC obsługuje jedynie te obiekty Active Directory, które są rzeczywiście uwierzytelnione dla określonego RODC. Co ważniejsze, RODC zdecydowanie nie pozwala na przechowywanie kont użytkowników o podwyższonych uprawnieniach, takich jak członkowie grup administratorów. I chociaż RODC nie zapobiega temu, aby kontroler domen nie został fizycznie wyniesiony poza obszar firmy, to jednak ogranicza ryzyko związane z atakiem fizycznym. Zawiera on bowiem tylko dane o niektórych kontach, zgodnie z zasadami przyjętymi w firmie. RODC może być umieszczony w miejscu, gdzie ochrona fizyczna nie jest tak ścisła jak np. w rejonie lokalizacji serwera w centrali.

Rys. 2. Domyślne zasady replikacji haseł w Read-only Domain Controller (RODC).

Domyślnie jedynie członkowie grupy Allowed RODC Password Replication mają upoważnienie do replikacji informacji uwierzytelniających w RODC. Replikacja zostanie przeprowadzona faktycznie tylko wówczas, jeżeli członek grupy zostanie uwierzytelniony przez RODC. Zauważmy, że administratorzy nie są upoważnieni do takiej replikacji. Z uwagi na to, że tylko obiekty dotyczące kont użytkowników o ograniczonych uprawnieniach są dostępne w RODC, w przypadku fizycznej degradacji (np. kradzieży) komputera służącego jako serwer obsługujący Read Only Domain Controller i użycia narzędzi do wydobywania haseł z Active Directory, ryzyko jest ograniczone do informacji dotyczących kont aktualnie przechowywanych w RODC, a zatem nieobejmujących administratorów. Konta o uprawnieniach administracyjnych nie zostaną skompromitowane, gdyż nie są przechowywane w RODC.

Windows BitLocker Drive Encryption i Encrypting File System (EFS). Oba rozwiązania dotyczą szyfrowania danych na twardym dysku. Zasadnicza różnica polega na tym, że Windows BitLocker Drive Encryption szyfruje całą zawartość dysku, a EFS pojedyncze foldery i pliki. Zastosowanie każdego z tych rozwiązań powoduje zamianę danych w ciąg znaków nieczytelny w innym komputerze, jeżeli dysk twardy stanie się obiektem fizycznego ataku (np. zostanie skradziony). Przy użyciu EFS, nieczytelne będą zaszyfrowane pliki i foldery; a w przypadku BitLocker, niedostępna będzie cała zawartość dysku z systemem operacyjnym włącznie.

Użytkownicy często pytają, czy BitLocker i EFS szyfrują dane, kiedy są one przesyłane przez sieć. Odpowiedź brzmi: nie! Szyfrowanie ma miejsce tylko w czasie zapisu danych na dysku, a odkodowanie następuje, kiedy odczytujemy informacje. Warto pamiętać, że dane przetwarzane przy pomocy BitLocker lub EFS nie są zaszyfrowane podczas transmisji w sieci. Rozwiązaniem bardziej odpowiednim do szyfrowania informacji w sieci jest korzystanie z protokołu IPsec (Internet Protocol security).

 Do początku strony

Bezpieczeństwo sieci granicznej

Terminal Services Gateway (TS Gateway) i Terminal Services RemoteApp (TS RemoteApp). Oba rozwiązania są podobne w działaniu, ponieważ funkcjonują w oparciu o protokół Remote Desktop Protocol (RDP) over HTTPS. Zasadnicza różnica pomiędzy TS Gateway i TS RemoteApp polega na tym, że drugie z wymienionych rozwiązań udostępnia jedynie aplikacje, a pierwsze całą zawartość komputera.

Komputer wyposażony w Windows Server 2008, który pełni taką rolę może znajdować się w sieci granicznej. Bezpośrednią korzyścią wynikającą z użycia TS Gateway lub TS RemoteApp jest możliwość wyeliminowania potrzeby przydzielania dostępu do wirtualnej sieci prywatnej (VPN) obiektom z zewnątrz. W zamian, można udostępnić serwer lub aplikację w sieci granicznej.

Kalkulator widoczny na rysunku nie został uruchomiony na komputerze-kliencie, lecz na serwerze, na którym działa Terminal Services Web Access (TS Web Access). Idealny scenariusz, podobny do użycia TS Web Access, polega na tym, że kiedy ktoś z zewnątrz potrzebuje dostępu do konkretnej aplikacji (np. konsultant z działu planowania zasobów, chce dostać się do konsoli konfiguracyjnej planowania zasobów), to zamiast zdalnego dostępu RDP do całej zawartości komputera, uzyska jedynie dostęp do określonej aplikacji udostępnionej w TS RemoteApp.

Rys. 3. Strona Terminal Services Web Access z uruchomionym kalkulatorem systemowym Windows.

 Do początku strony

Bezpieczeństwo sieci wewnętrznej

Windows Firewall with Advanced Security. Główna różnica pomiędzy zaporą sieciową Windows Firewall, stosowaną w Windows XP SP2 i w systemie operacyjnym Windows Server 2003, w porównaniu do rozwiązania Windows Firewall with Advanced Security (występującego w systemie Windows Vista i Windows Server 2008), polega na tym, że w pierwszym przypadku filtrowana jest tylko transmisja przychodząca, a w drugim również wychodząca. Ponadto, rozwiązanie Windows Firewall with Advanced Security obejmuje obecnie określone zasady i jest uaktywnione domyślnie.

Rys. 4. Konsola Windows Firewall with Advanced Security. Widoczne są domyślne zasady utworzone dla kontrolera domen.

Na rysunku widoczne są domyślne reguły działania zapory sieciowej utworzone automatycznie w Active Directory Domain Controller (ADDC). Proszę zauważyć, że rola ADDC, dla prawidłowego i bezpiecznego funkcjonowania, wymaga 13 zasad dla transmisji wchodzącej i co najmniej 4 dla wychodzącej.

W przypadku ręcznego tworzenia tych zasad, administrator musiałby poświęcić mnóstwo czasu na usunięcie problemów z połączeniami do kontrolera domen. Zamiast tworzyć zasady ręcznie, administrator może użyć narzędzia Server Manager w Windows Server 2008, aby uporządkować role serwera i jego funkcje. Server Manager może automatycznie dodać odpowiednie zasady działania zapory sieciowej dla odpowiednich ról serwera.

Powszechnie rozważaną kwestią jest zdolność zapory sieciowej w Windows Server 2008 do ochrony wewnętrznej sieci w zależności od brzegowych możliwości zapory. Jednakże, nie to było głównym celem projektu Windows Firewall with Advanced Security. Bardziej odpowiednim rozwiązaniem byłoby zastosowanie serwera Microsoft Internet Security and Acceleration (ISA) Server 2006 i Intelligent Application Gateway (IAG) 2007.

Network Access Protection (NAP). Z uwagi na swoją elastyczność, Network Access Protection (NAP) działa w dwóch warstwach występujących w strategii „defense-in-depth”. Zapewnia ochronę obszaru na granicy zabezpieczeń, a także połączeń w sieci wewnętrznej. NAP sprawdza status bezpieczeństwa klientów łączących się z zewnątrz z siecią wewnętrzną poprzez VPN, TS Gateway i łącza telefoniczne (dial-up).

NAP sprawdza również klientów wewnętrznych, posiadających dostęp do sieci lokalnej (LAN) za pośrednictwem Dynamic Host Configuration Protocol (DHCP), urządzeń zgodnych ze standardem 802.1X – takich, jak przełączniki i bezprzewodowych punktów dostępu LAN (WLAN). Ustala warunki użycia IPsec (określa, czy IPsec jest wymagany do połączenia, czy jest tylko opcją). NAP posiada o wiele więcej zalet, jednak ich omówienie wykracza poza zakres tego artykułu.

 Do początku strony

Bezpieczeństwo jednostki centralnej

Server Core. Server Core jest instalacją Windows Server, która nie posiada interfejsu graficznego użytkownika (GUI), oferowanego zwykle z systemem operacyjnym Windows. Server Core, korzysta jedynie z okna poleceń, za pomocą którego można administrować serwerem lokalnie, a Windows PowerShell umożliwia administrowanie zdalne.

Server Core jest zdecydowanie najbardziej istotnym elementem, z punktu widzenia bezpieczeństwa na poziomie centralnym, ponieważ jest on maksymalnie uproszczony i obejmuje jedynie najważniejsze usługi systemu operacyjnego, jak: zarządzanie siecią, współdzielenie plików i drukarek, usługi Active Directory, zapora Windows Firewall itp.

Nie obejmuje takich elementów, jak Internet Explorer, Windows Media Player i innych usług, które nie są istotne dla funkcjonowania serwera, a które hakerzy mogą próbować wykorzystać. Jednym ze sposobów podwyższenia bezpieczeństwa serwera jest wyłączenie mało ważnych usług, w celu zawężenia pola ewentualnego ataku. Server Core nie wyłącza nieistotnych usług, lecz uniemożliwia w ogóle ich uaktywnienie na tym poziomie.

Rys. 5. Interfejs użytkownika w Server Core. Na ekranie widać, że zmieniona została nazwa serwera.

Read-Only Domain Controller (RODC), zainstalowany w komputerze pełniącym rolę Server Core, jest idealną konfiguracją dla kontrolera domen w środowisku takim, jak biuro oddziału firmy, gdzie zasady fizycznego bezpieczeństwa nie są tak ścisłe, jak w biurze centralnym organizacji.

 Do początku strony

Bezpieczeństwo danych

Active Directory Rights Management Service (AD RMS). Dostęp do danych i dokumentów był wcześniej uzależniony od tego, w jaki sposób można było dostać się do tych informacji na dysku twardym lub w ramach współdzielenia informacji w sieci.

Od momentu, kiedy takie dane zostały udostępnione ich bezpieczeństwo było w rzeczywistości zerowe. Obecnie, przy wykorzystaniu usługi Rights Management Service, bezpieczeństwo dokumentów może nadal być utrzymywane na odpowiednim poziomie, nawet po pozyskaniu ich z dysku twardego lub z sieci.

Używając AD RMS, właściciel informacji może regulować zasady, na jakich dokumenty mogą być oglądane, kopiowane i drukowane. Podobnie regulowane mogą być zasady udzielania odpowiedzi na wiadomości poczty elektronicznej, ich przekazywania oraz drukowania. Wykorzystanie Active Directory Federation pozwala na objęcie kontrolą osób funkcjonujących wewnątrz organizacji oraz poza nią.

Rys. 6. Okno właściwości Rights Policy Template. Widoczne są niektóre uprawnienia dostępu do zawartości chronionej przez Rights Management, które mogą być przyznane dla użytkownika.

 Do początku strony

Podsumowanie

Przedstawiona niżej tabela zawiera podsumowanie omawianych w tym artykule rozwiązań z zakresu bezpieczeństwa oraz charakterystykę ich wpływu na każdą z warstw strategii „defense in depth”.

Wiedza na temat roli jaką odgrywają w strategii „defense in depth” poszczególne rozwiązania w zakresie bezpieczeństwa występujące w Windows Server 2008, pozwala użytkownikowi na ich lepsze wykorzystanie i możliwie najlepsze zabezpieczenie sieci.

Do początku strony