Narzędzia osobiste
Integrator Integrator  > Archiwum  > Archiwum Wydania Online  > Wydanie 2007  > Nr 5-6/2007 (92)  > Kontrola zewnętrznego dostępu
Integrator nrI/2017(137)
 
 

Kontrola zewnętrznego dostępu

Zróżnicowanie i wielość metod dostępu stanowi tutaj jeden z czynników komplikujących sprawę technicznie. Ponieważ jednak techniczne zabezpieczenie zewnętrznego dostępu jest standardowo realizowane przez dostępne na rynku urządzenia i oprogramowanie, dużo bardziej interesującym zagadnieniem jest techniczne wsparcie procesów organizacyjnych. Organizacyjny obszar kontroli zewnętrznego dostępu obejmuje różne typy użytkowników, procedury nadawania uprawnień zewnętrznego dostępu, procedury akceptacji uprawnień dostępu, ewidencjonowanie prób dostępu, a także raportowanie obejmujące cały zakres gromadzonych informacji.

Dla tak ogólnie sformułowanej problematyki Solidex opracował rozwiązanie charakteryzujące się wysokim stopniem elastyczności technicznej, umożliwiającym zastosowanie w dowolnej organizacji. W dalszej części niniejszego artykułu przedstawiamy opis tego rozwiązania.

Zagadnienie

Pewne hipotetyczne przedsiębiorstwo, ze względu na konieczność zapewnienia wysokiej dostępności świadczonych usług, decyduje się na wprowadzenie zdalnego dostępu do zasobów własnej infrastruktury dla pracowników (administratorów) oraz dostawców i usługodawców świadczących wsparcie serwisowe i operacyjne. Pracownicy tego przedsiębiorstwa oraz pracownicy dostawców mają możliwość autoryzowanego dostępu do infrastruktury sieciowej oraz aplikacyjnej w zakresie właściwym do pełnionej roli w systemie wsparcia. Oznacza to, że już na poziomie dostępu do konkretnych urządzeń i zasobów sieciowych następuje kontrola uprawnień. Użytkownicy zewnętrzni mogą dostawać się do wewnętrznych zasobów poprzez różne systemy dostępowe takie, jak dial-up, VPN, itp.

Z punktu widzenia organizacji przedsiębiorstwa pracownik jest użytkownikiem zaufanym. Wyposażony w środki silnego uwierzytelnienia może w miarę potrzeb korzystać ze zdalnego dostępu do zasobów. Z kolei pracownicy podmiotów zewnętrznych - dostawcy i usługodawcy - nie są obdarzeni takim zaufaniem i każdorazowa potrzeba zdalnego dostępu musi być autoryzowana przez dyżurnego pracownika przedsiębiorstwa. Każdy ze zdalnych użytkowników może wybrać najdogodniejszą dla siebie drogę dostępu do zasobów wewnętrznych. Może to być klienckie połączenie VPN, statyczny VPN z uwierzytelnieniem na firewallu, dial-up, itd. Korzystanie z nich możliwe jest tylko w wypadku gdy dla danego użytkownika zostaną nadane odpowiednie uprawnienia.

Zdalny dostęp do wewnętrznych zasobów przedsiębiorstwa jest koniecznością, ale też pewnego rodzaju zagrożeniem. Dlatego przedsiębiorstwo dąży do pełnej rozliczalności procedur nadawania uprawnień zewnętrznego dostępu, jak i samych prób dostępu. Istotnym elementem, na który zwraca się uwagę jest to, aby każda zmiana w uprawnieniach użytkowników korzystających ze zdalnego dostępu była odnotowana i mogła podlegać raportowaniu. Także wszelkie - udane i nieudane - próby dostępu zdalnego muszą być ewidencjonowane oraz muszą podlegać raportowaniu. Musi ono umożliwiać wykazanie prób dostępu zdalnego zarówno użytkowników o wyższym poziomie zaufania (pracownicy przedsiębiorstwa) jak i użytkowników, dla których następuje dodatkowa "osobista" autoryzacja uprawnionego administratora.

W miarę technicznych możliwości (istnieją tutaj bowiem pewne ograniczenia) przedsiębiorstwo chce również kontrolować i raportować czas trwania sesji zdalnego dostępu. W szczególności:

  • dokonuje autoryzacji zdalnego dostępu na określony czas,
  • sprawdza aktywne sesje zdalnego dostępu,
  • w razie konieczności rozłącza sesje zdalnego dostępu.

Ze względu na specjalizację poszczególnych działów przedsiębiorstwa, i stosunkowo liczny zbiór użytkowników zdalnych, uprawnienia autoryzacji zdalnego dostępu są przydzielone wybranym administratorom. Każdy z nich uprawniony jest do zarządzania dostępem grupy użytkowników znajdujących się w jego zakresie kompetencyjnym. Natomiast żaden z nich nie może ani ingerować w zbiór użytkowników zarządzany przez innego administratora, ani autoryzować dostępu użytkowników spoza własnych kompetencji. W ten sposób realizowana jest delegacja uprawnień zarządzania użytkownikami i zdalnym dostępem.

Rozwiązanie

System zarządzania zdalnym dostępem stworzony przez Solidex odpowiada na wyrafinowane potrzeby w tej dziedzinie. Umożliwia on scentralizowane zarządzanie użytkownikami i uprawnieniami zdalnego dostępu, a także pozwala na bieżąco kontrolować sesje zdalnego dostępu. Pozwala także na stworzenie centralnego zasobu uwierzytelnienia dla wielu metod dostępowych dzięki czemu zarządzanie zdalnym dostępem staje się prostsze i bezpieczniejsze. Elastyczność rozwiązania pozwala na realizację uwierzytelnienia zdalnego dostępu z wykorzystaniem silnych metod uwierzytelniających.

Architektura rozwiązania została przedstawiona na poniższym rysunku.

92-3-01

Rysunek 1 - Architektura rozwiązania zdalnego dostępu

Infrastruktura dostępowa przedsiębiorstwa (koncentratory VPN, linie dial-up, itp.) skonfigurowana jest w ten sposób, że uwierzytelnienie zdalnego dostępu następuje w centralnych serwerach uwierzytelnienia, których rolę pełnią serwery RADIUS. Serwery RADIUS są częścią podsystemu kontrolującego zdalny dostęp i sterowane są za pomocą zawartości bazy danych podsystemu, która z kolei zasilana jest przez serwery zarządzania i provisioningu. Serwery zarządzające udostępniają konsolę typu webowego pozwalającą na tworzenie i modyfikację kont zdalnego dostępu oraz kontrolowanie aktywnych sesji zdalnego dostępu. Konsola posiada rozbudowane funkcje sterowania przepływem informacji provisioningowej przez co możliwa jest realizacja wielostopniowej akceptacji nadawanych uprawnień.

Każda operacja administracyjna, która wpływa na uprawnienia zdalnego dostępu podlega zapisowi w logu audytowym. Dzięki temu tworzona jest pełna historia modyfikacji uprawnień zdalnego dostępu, zaś zaawansowane funkcje raportowe pozwalają dokonywać bieżącej i historycznej analizy czynności administracyjnych.

Zarządzanie użytkownikami odbywa się z użyciem webowej konsoli administracyjnej, która pozwala na tworzenie i modyfikację kont użytkowników, ich grupowanie, filtrowanie, dezaktywację i aktywację utworzonych kont użytkowników, nadawanie atrybutów specyficznych dla rodzaju dostępu. Jednym z istotnych atrybutów związanych na stałe z użytkownikiem może być adres IP nadawany użytkownikowi zdalnego dostępu. Dzięki temu na poziomie sieciowym (poprzez odpowiednią konfigurację reguł na wewnętrznych firewallach firmy) można kontrolować i rozliczać dostęp użytkownika zdalnego.

Oparcie rozwiązania o protokół RADIUS pozwala na zbieranie i przetwarzanie informacji o nawiązywanych sesjach użytkownika. System kontroluje wszelkie próby zdalnego dostępu odnotowując w logach zarówno udane jak i nieudane próby dostępu. Za pośrednictwem konsoli webowej możliwe jest kontrolowanie aktywnych sesji, łącznie z możliwością przerwania poszczególnych sesji. W przypadku uwierzytelnienia użytkowników bazującego na czasowym haśle dostępowym, operator generujący hasło ma możliwość określenia parametrów autoryzacji i parametrów sesji. Możliwe jest określenie maksymalnej liczby logowań, maksymalnej liczby nieudanych prób dostępu, czasu ważności hasła, a także maksymalnego czasu trwania sesji zewnętrznego dostępu. Serwery zarządzające wyposażone są w mechanizmy pozwalające na automatyczne rozłączenie sesji użytkownika zdalnego po upłynięciu założonego czasu trwania sesji.

Jak już zostało wspomniane system pozwala na różne scenariusze uwierzytelnienia. Dla użytkowników posługujących się środkami silnego uwierzytelnienia (np. tokeny) możliwa jest realizacja następującego scenariusza:

92-3-02

Rysunek 2 - Użycie silnego uwierzytelnienia w zdalnym dostępie

  1. Użytkownik zdalny żąda dostępu do zasobów wewnętrznych.
  2. Następuje weryfikacja typu użytkownika - użytkownik należy do grupy silnego uwierzytelnienia.
  3. Parametry uwierzytelniające przekazywane są do zasobu silnego uwierzytelnienia.
  4. Zasób silnego uwierzytelnienia zwraca informację o poprawnym uwierzytelnieniu użytkownika.
  5. Podsystem zarządzania zezwala na zdalny dostęp do infrastruktury wewnętrznej i określa aktualne atrybuty użytkownika (np. adres IP).

W drugim kroku powyższego scenariusza dokonana została kontrola uprawnienia użytkownika zdalnego do skorzystania funkcji silnego uwierzytelnienia. Krok ten pozwala na wyodrębnienie ze zbioru użytkowników korzystających wewnątrz firmy z silnego uwierzytelnienia podzbioru tych użytkowników, którzy dodatkowo uprawnieni są do dostępu zdalnego. Przypadek, w którym użytkownik nie posiada takich uprawnień został przedstawiony na poniższym scenariuszu.

92-3-03

Rysunek 3 - Ograniczenie silnego uwierzytelnienia w zdalnym dostępie

  1. Użytkownik zdalny żąda dostępu do zasobów wewnętrznych.
  2. Następuje weryfikacja typu użytkownika - użytkownik nie należy do grupy silnego uwierzytelnienia.
  3. Podsystem zarządzania nie zezwala na dostęp użytkownika do zasobów wewnętrznych.

Powyższy przykład pokazuje możliwości wyodrębniania różnych grup dostępu zdalnego. Szczególnym przypadkiem użytkowników zdalnego dostępu są ci, o których przedsiębiorstwo posiada ograniczone informacje, i działania których musi kontrolować na odrębnych zasadach. Mogą to być np. użytkownicy dostawców systemów informatycznych, elementów infrastruktury sieciowej, podmiotów świadczących usługi utrzymaniowe i serwisowe.

Uwierzytelnienie użytkowników tego typu ma charakter dwustopniowy i zostało przedstawione na poniższym rysunku. Istotnym założeniem w przypadku dostępu tego typu jest to, że użytkownik zdalny posługuje się pewną stałą, znaną sobie częścią hasła dostępowego. Ta stała część hasła dostępowego, ani login użytkownika zdalnego nie są znane operatorowi dyżurnemu biorącemu udział w procedurze uwierzytelnienia.

92-3-04

Rysunek 4 - Uwierzytelnienie hasłem czasowym

  1. Użytkownik zdalny kontaktuje się telefonicznie z dyżurnym operatorem wyjaśniając powód żądania zdalnego dostępu. Operator zna tożsamość użytkownika, ale nie zna jego loginu i stałej części hasła.
  2. Operator, po zweryfikowaniu tożsamości użytkownika, wprowadza do systemu informację o przyczynie udzielenia zdalnego dostępu, określa parametry dostępu oraz sesji i generuje zmienny składnik hasła czasowego.
  3. Zmienny składnik hasła czasowego dostarczany jest do użytkownika zdalnego automatycznie lub podawany przez operatora przez telefon.
  4. Wykorzystując znany sobie login i stały składnik hasła, oraz otrzymaną zmienną część hasła dostępowego użytkownik zdalny wysyła żądanie uwierzytelnienia.
  5. Podsystem zarządzania weryfikuje otrzymane informacje uwierzytelniające, sprawdza ważność i parametry udzielonego dostępu, zezwala na dostęp i przekazuje aktualne atrybuty użytkownika zdalnego.

Podsumowanie

Przedstawiony powyżej system zarządzania zdalnym dostępem został stworzony przez Solidex w odpowiedzi na zapotrzebowanie rynku związane z elastycznym i bezpiecznym rozwiązaniem kontrolowania dostępu do wewnętrznych zasobów firmy. Oprócz podstawowej funkcjonalności zarządzania kontami użytkowników i uwierzytelniania dostępu zdalnego system posiada także rozbudowane możliwości wplatania w przepływ informacji w ramach organizacji, a tym samym zapewnienie wielopoziomowej akceptacji nadawanych uprawnień.

Mechanizmy provisioningowe systemu pozwalają na zautomatyzowanie czynności administracyjnych przy zachowaniu odpowiednio wysokiego poziomu bezpieczeństwa.

System może funkcjonować w środowisku rozległym, a wręcz w odseparowaniu funkcjonalności uwierzytelnienia od mechanizmów provisioningowych. Może także pracować w środowisku wysokiej dostępności, gdyż ulokowanie każdego z elementów rozwiązania pozwala eliminować pojedyncze punkty awarii i budować system w pełni redundantny.

Przedstawiony system kwalifikuje się do grupy systemów związanych z zarządzaniem tożsamością i poprzez zastosowane komponenty pozwala osiągnąć pełną zgodność z unormowaniami prawnymi w tym zakresie. W szczególności warte wspomnienia jest, że zastosowanie wyżej opisanego systemu umożliwia osiągnięcie zgodności z regulacjami Sarbanes-Oxley. Funkcjonalność raportowa i audytowa systemu pozwala z dużą dokładnością śledzić wszystkie operacje związane z nadawaniem uprawnień zewnętrznego dostępu oraz samą realizację zewnętrznego dostępu.

 

Akcje Dokumentu

Nasze cookies są bezpieczne! Korzystamy z nich w minimalnym zakresie tak, aby nasz serwis był jak najlepiej dopasowany do potrzeb Użytkowników. Warunki przechowywania oraz dostępu do plików cookies, można zmienić w ustawieniach przeglądarki. Domyślne ustawienia popularnych przeglądarek pozwalają na zapisywanie cookies. Więcej informacji w naszej polityce cookies.

[X] Zaakceptuj, by informacja więcej się nie pojawiała