ActivPack to system identyfikacji cyfrowej przeznaczony do

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
Przewodnik technologii ActivCard
Część II. Polityka bezpieczeństwa systemu ActivPack
CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Część II. Polityka bezpieczeństwa systemu ActivPack
Spis treści
1. OCHRONA KOMUNIKACJI RADIUS I TACACS+
3
2. POLITYKA BEZPIECZEŃSTWA RADIUS I TACACS+
4
3. DOSTĘP DO USŁUG SERWERÓW ACTIVPACK
7
4. LICZBA NIEUDANYCH PRÓB UWIERZYTELNIANIA
9
5. ALARMOWANIE PERSONELU ZARZĄDZANIA ACTIVPACK
10
W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w
dokumencie produktów prosimy o kontakt: [email protected]
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
2
Część II. Polityka bezpieczeństwa systemu ActivPack
1. Ochrona komunikacji RADIUS i TACACS+
Urządzenia dostępowe do zasobów i aplikacji systemu informatycznego (np. Firewall,
rutery, serwery WWW) korzystają z usług serwerów ActivPack za pomocą protokołów RADIUS
i TACACS+.
Komunikacja RADIUS i TACACS+ jest zabezpieczona kryptograficznie. Wymagane jest
ustalenie w konfiguracji urządzeń dostępowych oraz serwera ActivPack tajnych kluczy (RADIUS
shared secret, TACACS+ shared secret).
Uwaga:
− Wpisane na serwerach ActivPack klucze (shared secret) do ochrony komunikacji RADIUS
i TACACS+ należy także wpisać w urządzeniach dostępowych, które będą korzystały z usług
ActivPack.
− Komunikacja RADIUS i TACACS+ z serwerem ActivPack powinna zostać dozwolona na
istniejących w sieci urządzeniach typu Firewall. Domyślnie serwer RADIUS jest dostępny na
porcie 1812/UDP, zaś serwer TACACS+ na porcie 49/TCP.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
3
Część II. Polityka bezpieczeństwa systemu ActivPack
2. Polityka bezpieczeństwa RADIUS i TACACS+
ActivPack jest pełnowartościowym serwerem zabezpieczeń AAA:
− Authentication: uwierzytelnianie (kim jest użytkownik?),
− Authorization: autoryzacja (jakie użytkownik ma uprawnienia?),
− Accounting: rozliczanie (jakie działania wykonał użytkownik?).
Parametry AAA dla serwerów RADIUS i TACACS+ definiowane są w tzw. słownikach
(dictionary). Urządzenia dostępowe różnych producentów (np. Cisco, Nortel, Shiva) posiadają
zwykle specyficzne parametry AAA, które można uwzględnić w polityce bezpieczeństwa serwera
ActivPack.
Ustalenie domyślnej polityki bezpieczeństwa ActivPack odbywa się w następującej kolejności:
1/ Definiujemy domyślne profile uwierzytelniania Company | Profiles | Authentication | New
AH Profile:
− hasła dynamiczne w trybie synchronizacji,
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
4
Część II. Polityka bezpieczeństwa systemu ActivPack
−
−
hasła dynamiczne w trybie Wyzwanie-Odpowiedz (Challenge-Response),
hasła statyczne.
2/ Definiujemy domyślne profile autoryzacji RADIUS i TACACS+.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
5
Część II. Polityka bezpieczeństwa systemu ActivPack
3/ Definiujemy domyślne profile rozliczania RADIUS i TACACS+.
Uwaga:
Utworzone powyżej profile AAA można poddawać modyfikacjom w zależności od stosowanych
urządzeń dostępowych oraz wymagań polityki bezpieczeństwa instytucji.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
6
Część II. Polityka bezpieczeństwa systemu ActivPack
3. Dostęp do usług serwerów ActivPack
Dostęp do usług serwerów ActivPack dla innych urządzeń i systemów jest realizowany
przez zdefiniowane w konfiguracji serwera punkty dostępu o nazwie "Gate" (patrz rysunek).
Definicja "Gate" zależy przede wszystkim od urządzeń, które będą korzystały z usług
serwera ActivPack oraz specyficznych wymagań bezpieczeństwa.
W konfiguracji „Gate” należy ustalić:
− protokół dostępu do serwera (RADIUS lub TACACS+),
− profile polityki bezpieczeństwa AAA,
− adresy IP urządzeń, które będą miały prawo korzystać z usług serwera.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
7
Część II. Polityka bezpieczeństwa systemu ActivPack
Dla przykładu, konfiguracja „Gate” dla systemu zabezpieczeń Check Point VPN-1/
FireWall-1 i urządzeń Cisco odbywa się w następujący sposób:
1/ Dodajemy nowy obiekt „Gate” w menu Company | Servers | <nazwa serwera> | New Gate:
−
dla systemu zaporowego Check Point VPN-1/FireWall-1
−
dla urządzeń Cisco
Uwaga:
Jeżeli z jakiegoś powodu nie chcemy wykonywać kontroli dostępu do usług serwera ActivPack
to pole "Authorized remote IP names or addresses" pozostawiamy puste.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
8
Część II. Polityka bezpieczeństwa systemu ActivPack
4. Liczba nieudanych prób uwierzytelniania
Parametr serwera ActivPack „Max. num. of tries” oznacza maksymalną liczbę
nieudanych prób uwierzytelniania, jaką użytkownik może wykonać, zanim jego konto zostanie
zablokowane. Ustawienie to ma za zadanie przeciwdziałanie atakom mającym na celu
odgadnięcie hasła użytkownika (np. poprzez atak brutalny).
Powyższe ustawienia można także wprowadzać dla zdefiniowanych grup użytkowników:
Company | Users | <grupa> | Define group max. num. of tries.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
9
Część II. Polityka bezpieczeństwa systemu ActivPack
5. Alarmowanie personelu zarządzania ActivPack
Informacja o zablokowanych użytkownikach na skutek wielu nieudanych prób logowania
może zostać odczytana z logu serwera ActivPack lub w razie potrzeby przesłana do
administratora za pomocą protokołu SMTP (np. poprzez wiadomość pocztową, Pager, SMS).
Ustawienia te dokonywane są w konfiguracji serwera w panalu:
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
10