6. Wstępna konfiguracja serwera ActivPack
Transkrypt
6. Wstępna konfiguracja serwera ActivPack
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część I. Instalacja i wstępna konfiguracja serwera ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl Część I. Instalacja i wstępna konfiguracja serwera ActivPack Spis treści 1. WPROWADZENIE 3 2. PODSTAWOWE KOMPONENTY SYSTEMU 4 3. ARCHITEKTURA SYSTEMU 5 4. ZASADY DZIAŁANIA ACTIVPACK 6 5. INSTALACJA OPROGRAMOWANIA ACTIVPACK 7 6. WSTĘPNA KONFIGURACJA SERWERA ACTIVPACK 8 7. KONSOLA ZARZĄDZAJĄCA ACTIVPACK 9 8. PERSONEL ZARZĄDZANIA SYSTEMU 10 9. KOMUNIKACJA Z SERWEREM UWIERZYTELNIANIA 12 10. BIEŻĄCE OPERACJE ZARZĄDZANIA ACTIVPACK 13 W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w dokumencie produktów prosimy o kontakt: [email protected] Copyright by CLICO Centrum Oprogramowania, 1991-2001. 2 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 1. Wprowadzenie ActivPack to system identyfikacji cyfrowej przeznaczony do wiarygodnego uwierzytelniania tożsamości użytkowników systemów informatycznych, dedykowany do zastosowań korporacyjnych oraz systemów o podwyższonych wymaganiach bezpieczeństwa (m.in. systemy rządowe, wojskowe, bankowe, finansowe, e−Commerce). Użytkownicy udowadniają swoja tożsamość w systemie informatycznym za pomocą haseł jednokrotnego użycia, generowanych w specjalnych urządzeniach (m.in.. tokenach typu "kalkulatorek" lub "breloczek", kartach inteligentnych Smart Card, tokenach USB, urządzeniach biometrycznych) lub za pomocą specjalnego oprogramowania desktop-owego (tzw. tokenów programowych). System uwierzytelnia ActivPack może także używać haseł statycznych oraz w razie potrzeby przekazywać zapytania do innych, istniejących w korporacji systemów uwierzytelnia m.in. logowanie w domenach Windows NT i Windows 2000, bazach LDAP i SQL oraz innych systemach RADIUS i TACACS+. ActivPack jest kompatybilny ze wszystkimi wiodącymi na rynku rozwiązaniami zabezpieczeń Firewall i VPN oraz urządzeniami sieci, m.in. Check Point VPN-1 SecuRemote, Check Point FireWall-1 (OPSEC Certified), Cisco Secure PIX Firewall, Cisco Secure VPN Concentrators, F-Secure VPN+, Nortel Contivity oraz Microsoft RAS. ActivPack to nowoczesna, stabilna technologia dostarczana przez renomowanego producenta (ActivCard, Nasdaq: ACTI, Nasdaq Europe: ACTI). Produkty ActivCard są bardzo atrakcyjne cenowo w porównaniu do tej klasy rozwiązań konkurencyjnych. W Polsce istnieje autoryzowany ośrodek dystrybucji wszystkich produktów ActivCard, świadczący poprzez certyfikowanych inżynierów zabezpieczeń profesjonalne usługi pomocy technicznej, konsultacji i szkoleń. Więcej informacji na ten temat można znaleźć na stronach http://www.clico.pl. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 3 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 2. Podstawowe komponenty systemu Oprogramowanie ActivPack: − ActivPack Authentication Server (moduł serwera i stacji zarządzającej) wraz z graficzną konsolą administratora GUI, − tokeny programowe (tzn. program do generowania haseł dynamicznych), − moduły wspierające komunikację z serwerami iPlanet i Microsoft IIS, − oprogramowanie klienckie usprawniające wykorzystanie kart Smart Card dla systemów Check Point VPN-1/FireWall-1 i Microsoft Windows NT RAS (tzn. użytkownik logując się wkłada tylko kartę do czytnika i wprowadza swój kod PIN), − oprogramowanie Simple Sign-On umożliwiające całkowite zautomatyzowanie procesu logowania użytkowników do różnych systemów i aplikacji (np. podczas odbioru poczty Simple Sign-On samodzielnie odczytuje hasło z karty Smart Card i wprowadza je do klienta poczty). Sprzętowe elementy ActivPack (podstawowe): − ActivCard Token One: tokeny generujące hasła dynamiczne, − ActivCard Gold: karty inteligentne Smart Card, generujące hasła dynamiczne, przechowujące hasła statyczne oraz wykonujące operacje PKI (m.in. generowanie kluczy kryptograficznych, tworzenie podpisów cyfrowych, szyfrowanie tajnego klucza sesji), − ActivCard ActivKey: tokeny USB o funkcjonalności Smart Card (tzn. generujące hasła dynamiczne, przechowujące hasła statyczne oraz wykonujące operacje PKI). Uwaga: Przykłady zamieszczone w dalszej części dokumentu wykorzystują tokeny ActivCard Token One z uwagi na łatwość ich użycia przy poznawaniu produktu (m.in. nie ma potrzeby instalacji dodatkowych sterowników, ani też montowania czytnika Smart Card). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 4 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 3. Architektura systemu System identyfikacji cyfrowej ActivPack składa się z serwerów uwierzytelniania (Authentication Servers), stacji do zarządzania (Administration Console), centralnej bazy danych (Administration Database) oraz lokalnych bazy danych serwerów (Server Database). Architektura systemu uwierzytelniania składa się z następujących obszarów: − system uwierzytelniania ActivPack, − użytkownicy wyposażeni w tokeny, karty Smart Card i inne urządzenia służącego do uwierzytelniania (m.in. urządzenia biometryczne), − urządzenia dostępowe (m.in. Firewall, rutery, RAS, WWW), − chronione zasoby systemu informatycznego. ActivPack to technologia identyfikacji cyfrowej, zaprojektowana pod kątem zaspokojenia potrzeb użytkownika korporacyjnego (m.in. rozproszenie geograficzne, stała dostępność HA) oraz systemów o podwyższonych wymaganiach bezpieczeństwa. System dostarcza wsparcie dla zapewniania stabilnej, niezakłóconej pracy zabezpieczeń (serwery Backup) oraz uwierzytelniania użytkowników często zmieniających miejsce pracy (User Roaming). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 5 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 4. Zasady działania ActivPack Proces uwierzytelniania użytkownika przebiega w następującej kolejności: 1. Użytkownik w czasie próby dostępu do aplikacji uwierzytelnia swoją tożsamość za pomocą identyfikatora oraz hasła dynamicznego wygenerowanego w tokenie. 2. Urządzenie dostępowe (np. Firewall, ruter, serwer RAS, serwer WWW) przekazuje dane użytkownika do zweryfikowania przez serwer ActivPack. 3. Serwer ActivPack weryfikuje dane identyfikacyjne użytkownika i informuje o tym urządzenie dostępowe. 4. Użytkownik uzyskuje dostęp do zasobów systemu informatycznego po pozytywnym uwierzytelnieniu swojej tożsamości i autoryzacji. Hasła dynamiczne w systemie ActivPack generowane są w dwóch trybach: − Synchronizacji: token jest zsynchronizowany z serwerem (czas, licznik), − Wyzwanie-Odpowiedź (Challenge-Response): hasło generowane jest podstawie wpisanego do tokenu kodu, otrzymanego wcześniej od serwera. na Więcej informacji na temat trybów generowania haseł dynamicznych znajduje się w rozdziale o tokenach ActivCard. Uwaga: Uwierzytelnienie użytkowników może odbywać się także za pomocą haseł statycznych oraz zawartych na ActivCard Gold (Smart Card) certyfikatów cyfrowych X.509. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 6 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 5. Instalacja oprogramowania ActivPack 1/ Uruchamiamy program instalacyjny ActivPack. 2/ Wybieramy komponenty do zainstalowania: − ActivPack Administration Console: oprogramowanie stacji zarządzającej, − ActivPack Server Configuration: oprogramowanie serwera uwierzytelniania, − ActivCard CreateDB: skrypty do konfiguracji baz SQL (ODBC). Uwaga: Przed instalacja ActivPack na platformie Windows NT/2000 należy zainstalować Microsoft Data Access Components (MDAC) w wersji 2.5 lub nowszej. MDAC znajduje się na CD. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 7 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 6. Wstępna konfiguracja serwera ActivPack 1/ Uruchamiamy program konfiguracji serwera Programs | ActivCard | ActivPack | ActivPack Server configuration 2/ Ustalamy identyfikator i hasło dostępu do serwera. Uwaga: − Wprowadzone powyżej dane (tzn. identyfikator i hasło) są wykorzystywane do szyfrowania kluczy kryptograficznych (3DES), używanych do zabezpieczenia baz danych serwera ActivPack. − Bazy danych serwerów i stacji zarządzającej ActivPack mogą być składowane w dowolnej relacyjnej bazie danych obsługującej operacje transakcji (m.in. Oracle, MS SQL, Sybase, Informix). Dostęp do baz SQL odbywa się poprzez ODBC. 3/ Ustalamy port TCP (Port) do komunikacji serwera ze stacją zarządzającą oraz klucz sesji (Secret) do ochrony tej komunikacji. W razi potrzeby można także zmodyfikować identyfikator i hasło dostępu do serwera (ActivPack User ID /Password) oraz identyfikator i hasło dostępu do bazy danych serwera (DSN ODBC User ID /Password). Uwaga: − W konfiguracji stacji zarządzającej ActivPack należy ustalić taki sam port TCP oraz taką sama wartość klucza sesji. − Po instalacji serwera na platformie Windows NT/2000 i wykonaniu jego wstępnej konfiguracji (Apply) zalecane jest przeładowanie komputera. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 8 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 7. Konsola zarządzająca ActivPack 1/ Uruchamiamy program konsoli zarządzającej Programs | ActivCard | ActivPack | ActivPack Administration Console. 2/ Ustalamy identyfikator i hasło dostępu do stacji zarządzającej. Konsola zarządzająca ActivCard składa się z trzech panelów: 1. Menu, 2. Lista obiektów, 3. Parametry i ustawienia konfiguracyjne. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 9 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 8. Personel zarządzania systemu W zależności od polityki bezpieczeństwa instytucji zadania zarządzania systemem ActivPack spoczywają na następujących osobach: 1. Administrator: osoba posiadająca pełne prawa (np. oficer bezpieczeństwa). Do jego podstawowych zadań należy: − definiowanie i konfigurowanie serwerów uwierzytelniania, − definiowanie i konfigurowanie punktów dostępu do serwerów (tzw. Gates) − tworzenie grup użytkowników − tworzenie profili uwierzytelniania (Authentication), praw dostępu (Authorization) i rozliczania (Accounting), − dostep do baz LDAP i SQL. 2. Help Desk: osoba odpowiadająca za udzielanie pomocy użytkownikom. Do jego podstawowych zadań należy: − sprawdzanie stanu kont użytkowników (m.in. kto został zablokowany na skutek wielu niepoprawnych prób logowania), − odblokowywanie użytkowników, których konta zostały zablokowanie na skutek wielu niepoprawnych prób logowania, − przydzielanie dla użytkowników tymczasowych haseł statycznych, − synchronizowanie tokenów, − blokowanie kont użytkowników, − zarządzanie grup użytkowników. 3. User Manager: osoba odpowiadająca za zarządzanie bazy użytkowników. Do jego podstawowych zadań należy: − konfiguracja grup użytkowników, − dodawanie i usuwanie użytkowników, − inicjowanie i przydzielanie tokenów dla użytkowników, − eksportowanie danych do innych systemów uwierzytelniania, − wszystkie zadania "Help Desk". Copyright by CLICO Centrum Oprogramowania, 1991-2001. 10 Część I. Instalacja i wstępna konfiguracja serwera ActivPack Definiowanie nowych administratorów ActivPack odbywa się w następujący sposób: 1/ W menu Company wybieramy z listy obiektów Security. 2/ Dodajemy nowych administratorów (Add). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 11 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 9. Komunikacja z serwerem uwierzytelniania Komunikacja sieciowa stacji zarządzającej ActivPack z serwerami uwierzytelniania jest zabezpieczona kryptograficznie (3DES). Port TCP do komunikacji stacji zarządzającej z serwerem oraz klucz sesji należy ustalić takie same jak wprowadzone wcześniej w konfiguracji serwera (ActivPack Server configuration). Na stacji zarządzającej ActivPack ustalamy parametry komunikacji z serwerem: 1/ W menu Company | Servers wpisujemy port TCP do komunikacji stacji zarządzającej z serwerem (Administration port) oraz klucz sesji do ochrony tej komunikacji (Server shared secret). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 12 Część I. Instalacja i wstępna konfiguracja serwera ActivPack 10. Bieżące operacje zarządzania ActivPack Po dokonaniu wstępnej konfiguracji serwera ActivPack można przystąpić do produkcyjnego wykorzystania systemu (m.in. świadczenie usług bezpieczeństwa, obsługa użytkowników i tokenów) oraz bieżącego zarządzania systemu. Do podstawowych operacji zarządzania systemu ActivPack można zaliczyć (patrz rysunek): − zapisywanie konfiguracji na serwerach (m.in. instalowanie polityki bezpieczeństwa), − odczyt i konsolidacja logów z serwerów, − przeglądanie logu uwierzytelniania użytkowników, − przeglądanie logu rozliczania użytkowników, − przeszukiwanie bazy użytkowników. Konfiguracja dokonywana na stacji zarządzającej ActivPack jest na bieżąco zapisywana w bazie "Administration Database". Następnie, administrator ActivPack powinien wprowadzone zmiany konfiguracyjne zapisać na serwerach (w bazach „Server Database”). Uwaga: Konieczność zapisania zmian konfiguracyjnych na serwerach ActivPack sygnalizowana jest przez migotanie przycisku: Copyright by CLICO Centrum Oprogramowania, 1991-2001. 13