Οι τελευταίες εξελίξεις στην ασύρματη αλλά και ενσύρματη διασύνδεση των υπολογιστών μιας εταιρείας στο επιχειρησιακό της δίκτυο, επιβάλλουν την αναθεώρηση της ιεράρχησης των κανόνων και των μηχανισμών ασφαλείας, με στόχο τη μέγιστη προστασία.
Είναι γεγονός ότι στη σύγχρονη ελληνική πραγματικότητα η ασφάλεια των πληροφοριακών συστημάτων και δεδομένων στις επιχειρήσεις (ειδικά στις μεσαίες και τις πολύ μικρές) είναι σχεδόν ανύπαρκτη. Δεν αναφέρομαι μόνο στην περίπτωση της φυσικής πρόσβασης στο χώρο του IT (είναι γνωστό ότι φυσική πρόσβαση ισοδυναμεί με πλήρη δικαιώματα administrator σε όλα τα δεδομένα μας) αλλά ιδιαίτερα στην πρόσβαση στο δικτυακό εξοπλισμό της εταιρείας.
Ιδιαίτερα στις μικρές επιχειρήσεις, όπου η ασφάλεια συνοψίζεται στη χρήση ενός μόνο “administrator” password για όλα τα υπολογιστικά συστήματα και το δικτυακό εξοπλισμό.
Στις περιπτώσεις αυτές θα πρέπει να καταλάβει ο ΙΤ manager (εσωτερικός ή εξωτερικός) ότι αυτό θέτει σε κίνδυνο όχι μόνο τα δεδομένα της επιχείρισης (συμπεριλαμβανομένων και των προσωπικών των υπαλλήλων της) αλλά υπονομεύει και την ποιότητα της εργασίας του (ειδικά στις δύσκολες εποχές που περνάμε).
Θα προσπαθήσουμε να κάνουμε λοιπόν μία εισαγωγή σε μερικές από τις τεχνολογίες που μπορούμε να χρησιμοποιήσουμε με μικρό σχετικά κόστος, ώστε να ενισχύσουμε την ασφάλεια της πρόσβασης στο εταιρικό δίκτυο όταν χρησιμοποιούμε ασύρματη ή ενσύρματη σύνδεση.
Μετά από αρκετά χρόνια συνισταμένων προσπαθειών οι εταιρείες που προμηθεύουν “σημεία ασύρματης διασύνδεσης υπολογιστών” (access point – AP) έχουν επιβάλει τη χρήση του πρωτοκόλλου WPA (και WPA2 με AES) που θεωρείται ως πολύ ισχυρό όσον αφορά σε ασφάλεια. Με τον καιρό διαφαίνεται ότι είναι πράγματι πολύ δύσκολο να παρακαμφθεί η ασφάλεια του συγκεκριμένου πρωτοκόλλου (αν τα password που χρησιμοποιούνται είναι αρκετά πολύπλοκα και μεγάλα) και αυτό ακριβώς είναι που κάνει το σύνολο των IT managers να επαναπαύονται στο ότι “κατάφεραν το καλύτερο δυνατό” με τη χρήση του. Φυσικά, θα ακούσουμε ότι η εγκατάσταση απαιτεί απλά ένα ισχυρό password που θα τοποθετηθεί στο ασύρματο AP και θα το ξέρουν όλοι οι υπολογιστές – πελάτες. Αυτό που παραμένει όμως μυστήριο για τους περισσότερους είναι ότι στις επιλογές ασφαλείας υπάρχει και μία επιλογή “WPA2 Enterprise” ή “WPA2 Radius”. Η πλειοψηφία των IT managers είτε δεν γνωρίζουν αυτή τη μέθοδο πιστοποίησης /ασφάλειας είτε την αποφεύγουν με τη δικαιολογία ότι “είναι πολύ δύσκολη (ή και χρονοβόρα) να χρησιμοποιηθεί”.
Για να καταλάβουμε καλύτερα το γιατί κάποιος πρέπει να επενδύσει σε μια καλύτερη μέθοδο πιστοποίησης και εξουσιοδότησης σε ασύρματα δίκτυα σε επιχειρησιακά περιβάλλοντα, ας δούμε μερικά μόνο από τα μειονεκτήματα της ασύρματης δικτύωσης με κοινά διαμοιραζόμενο password (PSK – Pre-Shared Key):
- Όλοι ξέρουμε ότι ένα κοινά γνωστό password έχει πολύ μεγάλες πιθανότητες να διαρρεύσει. Η διάδοσή του γίνεται με εκθετικούς ρυθμούς από τη στιγμή που θα το μάθει ένα μη εξουσιοδοτημένο πρόσωπο. Ο πιο εύκολος τρόπος για να μάθουμε το password είναι το social engineering.
- Πολλοί είναι αυτοί που ισχυρίζονται ότι απλά αλλάζουν το password συχνά, π.χ. μία φορά το μήνα ή κάθε 15 μέρες. Αυτό μπορεί να είναι μόνο στη θεωρία. Στην πράξη κανείς δεν μπαίνει στον κόπο να αλλάζει το password (ακόμα και όταν κάποιος υπάλληλος διακόπτει τη συνεργασία του με την εταιρεία), πόσο μάλλον να το μοιράζει κάθε λίγο “ασφαλώς” σε όλους τους ενδιαφερόμενους υπαλλήλους.
- Σε άλλες περιπτώσεις, συχνά ακούω ότι ο IT manager υποχρεώνει κάθε υπάλληλο να επισκέπτεται αυτοπροσώπως με τον υπολογιστή ή τη φορητή συσκευή του το τμήμα IT έτσι ώστε να “εγκαθίσταται” το password χωρίς να το δει ο τελικός χρήστης. Με τον τρόπο αυτό θεωρεί ότι αφού κανείς δεν ξέρει το password με τη μορφή κειμένου, δεν υπάρχει τρόπος να διαρρεύσει. Υπάρχουν όμως πολλά προγράμματα που “ανασύρουν” το password από κάποιον υπολογιστή ή κινητό τηλέφωνο που έχει ήδη συνδεθεί, ενώ στα windows 7 μπορεί ο καθένας να το δει με την επιλογή “Show Characters” στο Security tab στο Wireless Network Properties.
- Φυσικά υπάρχουν και άλλες “καινοτόμες” ιδέες των διάφορων αυτοαποκαλούμενων ειδικών στην ασφάλεια των ασύρματων δικτύων, όπως η χρήση ανεξάρτητων DSL για κάθε ένα ασύρματο AP ή η προσπάθεια “περιορισμού” της εμβέλειάς τους εντός των τοίχων της εταιρείας. Δυστυχώς τέτοιες λύσεις μόνο καλό δεν κάνουν για τη βελτίωση της ασφάλειας και είναι ασύμφορες (σκεφτείτε μόνο το μηνιαίο κόστος συντήρησης και αντιμετώπισης προβλημάτων τέτοιων λύσεων, όπως και το ότι παρακάμπτεται η πολιτική proxy & content filtering).
Αντίστοιχα με τα ασύρματα δίκτυα, παρόμοια προβλήματα ασφαλείας συναντάμε και στα ενσύρματα:
- Δεν έχουμε έλεγχο των συσκευών που συνδέονται στα switch που διαθέτουμε. Κάθε πριζάκι που είναι συνδεδεμένο, μπορεί να αποτελέσει την “αφύλακτη” κερκόπορτα πρόσβασης μη εξουσιοδοτημένων συσκευών σε data link layer (2).
- Μπορεί κάποιος να συνδέσει “rogue” AP σε οποιαδήποτε απόληξη και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο δίκτυο της εταιρείας – και μάλιστα από απόσταση.
- Μπορεί άθελά του να συνδέσει κάποιος μία “έξυπνη” συσκευή και να προκαλέσει χάος από την εμφάνιση νέων, μη εξουσιοδοτημένων DHCP ή άλλων server στο υφιστάμενο δίκτυο.
Για την αντιμετώπιση των παραπάνω προβλημάτων μπορούμε να χρησιμοποιήσουμε το ώριμο και πολύ διαδεδομένο πρωτόκολλο IEEE 802.1x, το οποίο καθορίζει ένα σύστημα Ελέγχου της Πρόσβασης σε επίπεδο Data Link (επίπεδο 2 του OSI) για ενσύρματα και ασύρματα δίκτυα.
Το πρωτόκολλο αυτό, το οποίο είναι βασισμένο στις αρχές του PKI (Public Key Infrastructure) δημιουργεί ένα ασφαλές κανάλι επικοινωνίας της συσκευής που πρόκειται να συνδεθεί στο δίκτυο και του σημείου ελέγχου της πρόσβασης (authentication server). Φυσικά η επικοινωνία αυτή (όπως φαίνεται και στο διάγραμμα 1) πρέπει να “περάσει” από το φυσικό άκρο του δικτύου, που είναι είτε το switch είτε το ασύρματο AP (ο authenticator).
Τώρα όλα αυτά μπορεί να ακούγονται πολύ τεχνικά και πολύπλοκα και ίσως να απομακρύνουν ακόμα περισσότερο τον IT manager από το να τα εφαρμόσει σε ένα επιχειρησιακό περιβάλλον. Εδώ θα πρέπει να τονίσουμε ότι και οι σχετικές τεχνολογίες είναι εύκολα προσβάσιμες από τη σειρά προϊόντων Microsoft Windows Server μέσω ενός άνετου και αναλυτικού γραφικού οδηγού, αλλά και υποστηρίζεται με απλό τρόπο από τα περισσότερα ασύρματα AP ή managed switches της αγοράς.
Θα πρέπει πρώτα να εξετάσουμε τις ελάχιστες απαιτήσεις τόσο σε υλικό όσο και σε λογισμικό για την υλοποίηση της λύσης 802.1x:
- Λογισμικό Authentication Server: Windows Server 2008/R2 Enterprise (θα χρειαστούν οι ρόλοι CA και NPS που συμπεριλαμβάνει και τον RADIUS server).
- Λογισμικό supplicant (συσκευές προς διασύνδεση – πελάτες): οποιοδήποτε λειτουργικό από Windows XP SP3 και μετά, σχεδόν όλα τα smartphones της αγοράς (WP7, iPhone, Android, Symbian), δικτυακές συσκευές που εμπεριέχουν τη χρήση του πρωτοκόλλου στις προδιαγραφές τους (δικτυακοί εκτυπωτές, δικτυακά scanner κ.ά.).
- Υλικό Authenticator: Οποιοδήποτε σχεδόν ασύρματο AP που υποστηρίζει WPA2 Enterprise ή WPA RADIUS (το 90% των ασύρματων AP της αγοράς), οποιοδήποτε managed switch υποστηρίζει το πρωτόκολλο PEAP/MSChapV2 ή το πιο σύγχρονο πρωτόκολλο NAP.
Τα Windows Server προσφέρουν μία ενοποιημένη λύση διαχείρισης του συστήματος 802.1x μέσω δύο βασικών ρόλων:
- Tο ρόλο CA (Certificate Authority), με τον οποίο μπορούμε να διαχειριζόμαστε την υποδομή PKI και την αυτόματη ή χειροκίνητη έκδοση πιστοποιητικών για τους supplicant (συσκευές/ πελάτες).
- Tο ρόλο NPS (Network Policy Server) με τον οποίο διαχειριζόμαστε την πολιτική ασφαλείας για τις συσκευές που επιχειρούν να συνδεθούν, αλλά και την εξακρίβωση των διαπιστευτηρίων τους μέσω του RADIUS server που εγκαθίσταται αυτόματα.
Ενώ παραπλήσιες διαχειρίσεις είναι γνωστό ότι προσφέρουν και άλλα λειτουργικά ή σουίτες εφαρμογών, όπου τα πλεονεκτήματα που προσφέρει η σειρά Microsoft Windows Server για τον αμύητο IT manager είναι πολλαπλά:
- Mία ενοποιημένη διαχείριση για όλο τον κύκλο ζωής των διασυνδεδεμένων συσκευών (έκδοση πιστοποιητικών, διαχείριση CRL, αυτόματο Private key backup στο Active Directory, Auto enrollment, templating κ.ά.).
- Aυτόματη έκδοση CA certificate με την εγκατάσταση του ρόλου CA.
- Eνοποιημένη και κατανοητή διαχείριση των πολιτικών διασύνδεσης και ελέγχου ταυτότητας.
- Πολλαπλά wizard για την ενεργοποίηση του NPS, του NAP και των health certificate, αν αυτά εγκατασταθούν.
Για την ενεργοποίηση της ασφάλειας 802.1x θα πρέπει να ξεκινήσουμε ελέγχοντας ότι και τα τρία μέρη που συμμετέχουν (authnetication server, authenticator, supplicant) είναι συμβατά με την τεχνολογία και να εγκαταστήσουμε τους προαναφερόμενους ρόλους στα Windows Server. Κατόπιν θα πρέπει:
- Να κάνουμε authorize τον NPS για να μπορεί ο RADIUS να έχει πρόσβαση στα στοιχεία των χρηστών στο Active Directory.
- Να ενεργοποιήσουμε το Key Archival σε περίπτωση που επιθυμούμε το private key των supplicant να φυλάγεται στο Active Directory.
- Να ενεργοποιήσουμε το workstation template για την αυτόματη έκδοση κλειδιών σε υπολογιστές που είναι joined στο domain μας (duplicate template, απόδοση δικαιωμάτων, publish στο CA).
- Να επέμβουμε στο group policy για να φτιάξουμε πολιτική αυτόματης έκδοσης πιστοποιητικών και αλλαγής του τρόπου διασύνδεσης με ενσύρματο ή ασύρματο τρόπο, ώστε να χρησιμοποιείται το 802.1x.
- Να εκδώσουμε με χειροκίνητο τρόπο τα πιστοποιητικά για τις υπόλοιπες συσκευές μας (smartphones, printers).
- Να ορίσουμε την πολιτική ασφαλείας στον NPS (με τη χρήση του wizard όπως φαίνεται και στην εικόνα 1).
- Να ορίσουμε στα ασύρματα AP τον NPS server ως RADIUS server, ενώ παράλληλα θα δηλώσουμε στον NPS όλα τα ασύρματα AP που θα ζητούν πιστοποιήσεις από αυτόν.
Για την αποσφαλμάτωση της όλης διαδικασίας πιστοποίησης των supplicant (πελατών) μπορούμε να ελέγξουμε τα αρχεία καταγραφής (log) που παράγονται και στα τρία εμπλεκόμενα μέρη (supplicant – authenticator – authentication server). Πιο συγκεκριμένα, στον authentication server μπορούμε να πάρουμε αναλυτικές πληροφορίες για τις επιτυχίες ή αποτυχίες διασύνδεσης, με τους ακόλουθους τρόπους:
- Από τον Event Viewer στην επιλογή: Custom Views, Server Roles, Network Policy and Access Services.
- Με την επισκόπηση των NPS accounting log file (π.χ. %windir%\system32\logfiles\IN111.txt).
- Με την ενεργοποίηση των NPS trace file:
- ενεργοποίηση με netsh ras set tr * en
- έλεγχος των %windir%\tracing\IASNAP.LOG και IASSAM.LOG
- απενεργοποίηση με netsh ras set tr * dis
- Με τη χρήση του εργαλείου wireshark για την καταγραφή των πακέτων του PEAP και μεταγενέστερη ανάλυσή τους.
- Μερικά χρήσιμα link για την περαιτέρω εμβάθυνση στο θέμα είναι τα ακόλουθα:
- Microsoft “Foundation Network Companion Guide: Deploying Server Certificates”
http://go.microsoft.com/fwlink/?LinkId=108258 - Microsoft “Foundation Network Companion Guide: Deploying Computer and User Certificates”
http://go.microsoft.com/fwlink/?LinkId=113884 - Microsoft “802.1X Authenticated Wireless Access Design Guide”
http://go.microsoft.com/fwlink/?LinkId=140670 - Microsoft “802.1X Authenticated Wireless Deployment Guide”
http://go.microsoft.com/fwlink/?LinkId=134848
Ελπίζω να σας έδειξα το δρόμο για τη μεγιστοποίηση της ασφάλειας στα ασύρματα και ενσύρματα δίκτυα της επιχείρησής σας και να επανεξετάσετε εκ βάθρων το θέμα του ελέγχου της πρόσβασης.
Γιώργος Σπηλιώτης *
Δημήτρης Παπίτσης
Microsoft MVP – Enterprise Security
MCSE, MCT
Ο Γιώργος Σπηλιώτης είναι απόφοιτος του τμήματος πληροφορικής του Πανεπιστημίου Αθηνών και κάτοχος Master σε θέματα ασφάλειας βάσεων δεδομένων. Δραστηριοποιείται στο χώρο του IT Consulting τα τελευταία 14 χρόνια, κυρίως σε θέματα ασφαλείας, αξιοποίησης των νέων τεχνολογιών στις ελληνικές επιχειρήσεις αλλά και interoperability μεταξύ συστημάτων Microsoft και Linux. Είναι ενεργό μέλος της κοινότητας ανάπτυξης κώδικα για Linux και έχει διατελέσει IT consultant σε μεγάλη αμερικανική εταιρεία παροχής υπηρεσιών, που είναι βασισμένη σε ανοιχτή πλατφόρμα λογισμικού.