SharePointin tietoturva ja etäkäyttö (osa 3/10)

Tämä artikkeli on kolmas osa SharePoint-juttusarjasta.

Yleistä

SharePoint-ratkaisuissa tietoturvan suunnitteluun ja toteutukseen kannattaa usein käyttää reipas tovi aikaa. Päätettäviä asioita on paljon, alla yleisimmät:

  • Etäkäyttäjien autentikointi
  • Active Directory-ratkaisut extranet/etäkäyttöratkaisuissa
  • Tiedon salaus (HTTPS, VPN, jokin muu?)
  • Salasanojen tallennus – AD, jokin muu?
  • WFE:n yhteys tietokantapalvelimiin – tarvitseeko salata?
  • Palomuurien konfigurointi, portit
  • Central Admin-palvelun sijoittelu
  • Indeksointipalvelun pääsy sisäverkon resursseihin (extranet)

Koska tietoturvan suunnittelu lähtee aina asiakkaan omista tarpeista ei kaikkia mahdollisia vaihtoehtoja voi järkevästi yleensä määritellä ennen projektia. Tässä artikkelissa tutustutaan yleisimpiin ratkaisuihin tietoturvaratkaisuihin MOSS 2007-alustalla sekä otetaan kantaa tyypillisiin ongelmatilanteisiin.

Autentikointi

Autentikointiratkaisut voidaan karkeasti jakaa kahteen kokonaisuuteen: Käyttäjän autentikointi ja autentikointiprotokollat.

Käyttäjän autentikoinnilla tarkoitetaan selaimen (käyttäjä) ja WFE:n (MOSS-web palvelut) välillä tapahtuvaa käyttäjätunnus- ja salasanaparin (tai vastaavien kredentiaalien) varmistamista. Oletuksena MOSS käyttää Windows Integrated Authentication-asetusta, eli autentikointi selaimille jotka Windows-autentikointia tukevat – Internet Explorer 5.5. ja uudemmat. Jos käyttäjäkunnassa tunnistetaan muita selaimia – Firefox, Safari (Mac-koneet tyypillisesti), Opera jne. – tulee lisäksi kytkeä käyttöön Basic Authentication. Ongelma tässä on se, että Basic Authentication ei salaa riittävällä tasolla yhteyden yli välitettäviä käyttäjätietoja, kuten salasanaa.

Ratkaisu on lisätä SSL-sertifikaatti (HTTPS-yhteys) Basic Authentication-käyttäjille. Sertifikaatin voi tehdä itse, jos tästä on kokemusta, ja mikäli kaikki käyttäjät ovat yrityksen hallinnan piirissä (esim. työntekijöitä). Muussa tapauksessa on suositeltavaa ostaa kaupallinen SSL-sertifikaatti esim. Thawtelta, Verisignilta tai GoDaddylta.

Toinen ratkaisu eri selainten tukemiin autentikointitapoihin on lomakepohjainen, eli Forms-autentikointi. Tällöin kaikki käyttäjät autentikoidaan erillisella html-lomakkeella joka kysyy halutut tiedot – samalla tavalla kuin esimerkiksi Outlook Web Access. Forms-autentikointi voidaan tehdä MOSSilla (vaatii hieman työtä, xml-osaamista ja konfigurointitiedostojen hienosäätöä) tai ISA Server 2006:lla (helpompi, mutta vaatii erillisen palvelimen – lähinnä näppärä, jos ISA on jo muutenkin käytössä).

Toinen kokonaisuus autentikointien osalta on autentikointiprotokollat. Näistä MOSS oletuksena tukee kahta – NTLM ja Kerberos-autentikointia. Nyrkkisääntönä pidettäköön, että NTLM kannattaa oletuksena pitää päällä jos ei ole käsitystä Kerberoksen eduista. Se on myös vakiona käytössä, kun uusi SharePoint-palvelu luodaan. Kerberos on turvallisempi, nopeampi ja sallii sellaisia toimintoja joita NTLM ei tue (mm. delegointi).

Autentikointi tapahtuu aina lähteeseen johon käyttäjätiedot on tallennettu. Oletuksena tämä on Active Directory. Muita vaihtoehtoja on AD LDS (Lightweight Directory Services – Windows Server 2008:n uusi ominaisuus), AD AM (Application Mode – Windows Server 2003:n ominaisuus), SQL-pohjaiset tietokannat, LDAP-hakemistot tai jokin muu, räätälöity lähde.

Palomuurien konfigurointi

Palomuureja on tyypillisesti yksi, usein kaksi. Ensimmäinen palomuuri on extranet/ulkoverkon käyttäjien ja MOSS WFE:n välissä. Toinen MOSS-palveluiden ja sisäverkon/lisäpalveluiden (SQL Server, AD ja muut resurssipalvelut) välissä. On usein ongelmallista listata mitä kaikkea liikennettä avataan eri verkkojen välille. Tässä lyhyt yhteenveto yleisesti tarvittavista porteista ja protokollista:

  • maailma -> WFE: 80/TCP (HTTP, jos käytössä)
  • maailma -> WFE: 443/TCP (HTTPS, jos käytössä)
  • maailma -> WFE: WebDAV-pyynnöt (yleensä HTTP:nä, jotkin ympäristöt vaativat tämän sallimista erikseen)
  • MOSS-palvelimet -> Central Admin/SSP: 56737/TCP, 57378/TCP (Office Server Web Services)
  • hallintakoneet -> MOSS-palvelimet: 3389/TCP (Remote Desktop-etäyhteydet hallintaa varten)
  • sisäverkko -> WFE: 80/TCP (HTTP, jos käytössä – sisäverkon käyttäjiä varten)
  • sisäverkko -> WFE: 443/TCP (HTTPS, jos käytössä – sisäverkon käyttäjiä varten)
  • AppServer (Index) -> WFE: 80/TCP (HTTP, jos käytössä – indeksointi)
  • AppServer (Index) -> WFE: 443/TCP (HTTPS, jos käytössä – indeksointi)
  • MOSS-palvelimet -> resurssipalvelimet (DC, DNS): 445/TCP, 135/TCP, 53/UDP, 88/UDP, 389/UDP, 636/UDP: Domain Services, DNS, Kerberos
  • WFE -> SMTP-palvelin: 25/TCP (SMTP)
  • MOSS-palvelimet -> SQL: 1433/TCP (SQL-yhteydet)
  • WFE -> AppServer (Query): 137-139/TCP,UDP, 445/TCP,UDP (hakukyselyt WFE -> Search-palvelin)
  • AppServer (Index) -> AppServer (Query): 137-139/TCP, UDP, 445/TCP, UDP (indeksin päivitys ja levitys)
  • WFE -> maailma: RSS/XML-feedit

Palomuuriratkaisu voi olla ISA Server 2006, jossa etuna forms-autentikointi ja SharePoint Publishing-ominaisuudet. Tämä ei kuitenkaan ole vaatimus vaan mikä tahansa nykyaikainen palomuurijärjestelmä toimii.

Central Admin-palvelun sijoittelu

Central Admin on MOSS 2007-farmin hallintapalvelu pääkäyttäjille. Palvelun kautta voidaan luoda uusia portaaleita, tuhota olemassaolevia sivustoja ja keskitetysti hallita kaikkia SharePoint-farmin asetuksia. Central Admin pyörii aina satunnaisessa portissa (tai siinä mihin se on määritelty SharePointin asennuksen aikana), esimerkiksi http://wfe-palvelin.domain.fi:12452/. Central Admin asentuu automaattisesti ensimmäiseen MOSS-palvelimeen ja se on syytä siirtää asennuksen viimeistelyn yhteydessä muualle, mikäli palvelimia farmissa on useampi kuin yksi. Siirron voi tehdä Central Adminin kautta esimerkiksi sisäverkossa olevaan indeksointipalvelimeen.

Mainokset
Explore posts in the same categories: SharePoint ja Office, Tietoturva, Vapaapäivä

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s


%d bloggers like this: