Archive for the ‘Tietoturva’ category

Security Compliance Management Toolkit

keskiviikko, heinäkuu 2, 2008

Security Compliance Management Toolkit sisältää parhaat käytännöt tietoturva-asetusten suunnitteluun, käyttöönottoon, valvontaan ja hallintaan Windows-työasemille (Vista, XP SP2 ja Windows Server 2003 SP2).

Lataa toolkit: http://go.microsoft.com/?linkid=9069633

SharePointin tietoturva ja etäkäyttö (osa 3/10)

tiistai, maaliskuu 11, 2008

Tämä artikkeli on kolmas osa SharePoint-juttusarjasta.

Yleistä

SharePoint-ratkaisuissa tietoturvan suunnitteluun ja toteutukseen kannattaa usein käyttää reipas tovi aikaa. Päätettäviä asioita on paljon, alla yleisimmät:

  • Etäkäyttäjien autentikointi
  • Active Directory-ratkaisut extranet/etäkäyttöratkaisuissa
  • Tiedon salaus (HTTPS, VPN, jokin muu?)
  • Salasanojen tallennus – AD, jokin muu?
  • WFE:n yhteys tietokantapalvelimiin – tarvitseeko salata?
  • Palomuurien konfigurointi, portit
  • Central Admin-palvelun sijoittelu
  • Indeksointipalvelun pääsy sisäverkon resursseihin (extranet)

Koska tietoturvan suunnittelu lähtee aina asiakkaan omista tarpeista ei kaikkia mahdollisia vaihtoehtoja voi järkevästi yleensä määritellä ennen projektia. Tässä artikkelissa tutustutaan yleisimpiin ratkaisuihin tietoturvaratkaisuihin MOSS 2007-alustalla sekä otetaan kantaa tyypillisiin ongelmatilanteisiin.

Autentikointi

Autentikointiratkaisut voidaan karkeasti jakaa kahteen kokonaisuuteen: Käyttäjän autentikointi ja autentikointiprotokollat.

Käyttäjän autentikoinnilla tarkoitetaan selaimen (käyttäjä) ja WFE:n (MOSS-web palvelut) välillä tapahtuvaa käyttäjätunnus- ja salasanaparin (tai vastaavien kredentiaalien) varmistamista. Oletuksena MOSS käyttää Windows Integrated Authentication-asetusta, eli autentikointi selaimille jotka Windows-autentikointia tukevat – Internet Explorer 5.5. ja uudemmat. Jos käyttäjäkunnassa tunnistetaan muita selaimia – Firefox, Safari (Mac-koneet tyypillisesti), Opera jne. – tulee lisäksi kytkeä käyttöön Basic Authentication. Ongelma tässä on se, että Basic Authentication ei salaa riittävällä tasolla yhteyden yli välitettäviä käyttäjätietoja, kuten salasanaa.

Ratkaisu on lisätä SSL-sertifikaatti (HTTPS-yhteys) Basic Authentication-käyttäjille. Sertifikaatin voi tehdä itse, jos tästä on kokemusta, ja mikäli kaikki käyttäjät ovat yrityksen hallinnan piirissä (esim. työntekijöitä). Muussa tapauksessa on suositeltavaa ostaa kaupallinen SSL-sertifikaatti esim. Thawtelta, Verisignilta tai GoDaddylta.

Toinen ratkaisu eri selainten tukemiin autentikointitapoihin on lomakepohjainen, eli Forms-autentikointi. Tällöin kaikki käyttäjät autentikoidaan erillisella html-lomakkeella joka kysyy halutut tiedot – samalla tavalla kuin esimerkiksi Outlook Web Access. Forms-autentikointi voidaan tehdä MOSSilla (vaatii hieman työtä, xml-osaamista ja konfigurointitiedostojen hienosäätöä) tai ISA Server 2006:lla (helpompi, mutta vaatii erillisen palvelimen – lähinnä näppärä, jos ISA on jo muutenkin käytössä).

Toinen kokonaisuus autentikointien osalta on autentikointiprotokollat. Näistä MOSS oletuksena tukee kahta – NTLM ja Kerberos-autentikointia. Nyrkkisääntönä pidettäköön, että NTLM kannattaa oletuksena pitää päällä jos ei ole käsitystä Kerberoksen eduista. Se on myös vakiona käytössä, kun uusi SharePoint-palvelu luodaan. Kerberos on turvallisempi, nopeampi ja sallii sellaisia toimintoja joita NTLM ei tue (mm. delegointi).

Autentikointi tapahtuu aina lähteeseen johon käyttäjätiedot on tallennettu. Oletuksena tämä on Active Directory. Muita vaihtoehtoja on AD LDS (Lightweight Directory Services – Windows Server 2008:n uusi ominaisuus), AD AM (Application Mode – Windows Server 2003:n ominaisuus), SQL-pohjaiset tietokannat, LDAP-hakemistot tai jokin muu, räätälöity lähde.

Palomuurien konfigurointi

Palomuureja on tyypillisesti yksi, usein kaksi. Ensimmäinen palomuuri on extranet/ulkoverkon käyttäjien ja MOSS WFE:n välissä. Toinen MOSS-palveluiden ja sisäverkon/lisäpalveluiden (SQL Server, AD ja muut resurssipalvelut) välissä. On usein ongelmallista listata mitä kaikkea liikennettä avataan eri verkkojen välille. Tässä lyhyt yhteenveto yleisesti tarvittavista porteista ja protokollista:

  • maailma -> WFE: 80/TCP (HTTP, jos käytössä)
  • maailma -> WFE: 443/TCP (HTTPS, jos käytössä)
  • maailma -> WFE: WebDAV-pyynnöt (yleensä HTTP:nä, jotkin ympäristöt vaativat tämän sallimista erikseen)
  • MOSS-palvelimet -> Central Admin/SSP: 56737/TCP, 57378/TCP (Office Server Web Services)
  • hallintakoneet -> MOSS-palvelimet: 3389/TCP (Remote Desktop-etäyhteydet hallintaa varten)
  • sisäverkko -> WFE: 80/TCP (HTTP, jos käytössä – sisäverkon käyttäjiä varten)
  • sisäverkko -> WFE: 443/TCP (HTTPS, jos käytössä – sisäverkon käyttäjiä varten)
  • AppServer (Index) -> WFE: 80/TCP (HTTP, jos käytössä – indeksointi)
  • AppServer (Index) -> WFE: 443/TCP (HTTPS, jos käytössä – indeksointi)
  • MOSS-palvelimet -> resurssipalvelimet (DC, DNS): 445/TCP, 135/TCP, 53/UDP, 88/UDP, 389/UDP, 636/UDP: Domain Services, DNS, Kerberos
  • WFE -> SMTP-palvelin: 25/TCP (SMTP)
  • MOSS-palvelimet -> SQL: 1433/TCP (SQL-yhteydet)
  • WFE -> AppServer (Query): 137-139/TCP,UDP, 445/TCP,UDP (hakukyselyt WFE -> Search-palvelin)
  • AppServer (Index) -> AppServer (Query): 137-139/TCP, UDP, 445/TCP, UDP (indeksin päivitys ja levitys)
  • WFE -> maailma: RSS/XML-feedit

Palomuuriratkaisu voi olla ISA Server 2006, jossa etuna forms-autentikointi ja SharePoint Publishing-ominaisuudet. Tämä ei kuitenkaan ole vaatimus vaan mikä tahansa nykyaikainen palomuurijärjestelmä toimii.

Central Admin-palvelun sijoittelu

Central Admin on MOSS 2007-farmin hallintapalvelu pääkäyttäjille. Palvelun kautta voidaan luoda uusia portaaleita, tuhota olemassaolevia sivustoja ja keskitetysti hallita kaikkia SharePoint-farmin asetuksia. Central Admin pyörii aina satunnaisessa portissa (tai siinä mihin se on määritelty SharePointin asennuksen aikana), esimerkiksi http://wfe-palvelin.domain.fi:12452/. Central Admin asentuu automaattisesti ensimmäiseen MOSS-palvelimeen ja se on syytä siirtää asennuksen viimeistelyn yhteydessä muualle, mikäli palvelimia farmissa on useampi kuin yksi. Siirron voi tehdä Central Adminin kautta esimerkiksi sisäverkossa olevaan indeksointipalvelimeen.

Windows Server 2008 tietoturvaopas

torstai, helmikuu 28, 2008

Windows Server 2008 Security Guide on Microsoftin tarjoama ns. Solution Accelerator (käyttöönotto-opas) jonka avulla yritykset voivat paremmin suunnitella ja toteuttaa tietoturvamalleja Windows Server 2008:lla.

Oppaan kattavat alueet ovat

  • Security Guide (AD, DHCP, DNS, IIS, tiedostopalvelut, tulostus, ADCS, NAP, TS)
  • Yhteenveto suositelluista tietoturva-asetuksista
  • GPOAccelerator – erillinen työkalu ryhmäkäytäntöjen automaattiseen luontiin

Lataa opas: http://www.microsoft.com/downloads/details.aspx?FamilyID=fb8b981f-227c-4af6-a44b-b115696a80ac&DisplayLang=en

Windows Server 2008 Network Level Authentication

maanantai, helmikuu 18, 2008

Network Level Authentication on Windows Server 2008:n tarjoama uusi tietoturvaratkaisu Terminal Server-etäyhtekysille. Performance Teamin blogissa on valoisa artikkeli NLA:n mahdollisuuksista.

Lue artikkeli: http://blogs.technet.com/askperf/archive/2008/02/16/ws2008-network-level-authentication-and-encryption.aspx

SSTP:n käyttöönotto

tiistai, helmikuu 5, 2008

SSTP (Secure Socket Tunneling Protocol) on Windows Server 2008:n uusi toiminto, jonka avulla voidaan rakentaa VPN-tunneli SSL-yhteyden kautta. Tämä screencast kuvaa SSTP:n käytön ja käyttöönoton.

Katso screencast: http://www.microsoft.com/downloads/details.aspx?FamilyID=fc4d7d3f-0376-45bf-9544-ec35329a2fc1&DisplayLang=en

NAP – Network Access Protection

torstai, tammikuu 31, 2008

System Center-blogissa on julkaistu hyvä artikkeli Network Access Protection-ratkaisun käytöstä ja mahdollisuuksista.

Lue artikkeli: http://blogs.technet.com/systemcenter/archive/2008/01/29/network-access-protection-arrives.aspx

Microsoft IPsec Diagnostic Tool 1.0

torstai, tammikuu 31, 2008

IPSec Diagnotsic Tool-työkalulla voidaan selvittää IPSec-verkkoyhteyksien ongelmia. Työkalu toimii XP:llä, Windows Server 2003:lla, Vistalla ja Windows Server 2008:lla.

Lataa työkalu: http://www.microsoft.com/downloads/details.aspx?FamilyID=1d4c292c-7998-42e4-8786-789c7b457881&DisplayLang=en