SIECIOWY SYSTEM ARCHIWIZACJI I BACKUPU DANYCH
Program do backupu - Ferro Backup System
       
Identyfikator artykułu: FS-FBS-20140220-I01
Ostatnia weryfikacja: 20 luty 2014
Wersja: 1.0


Zabezpieczanie połączeń sieciowych w systemach archiwizacji danych

Podczas każdego rodzaju transmisji sieciowej występuje ryzyko upublicznienia poufnych danych, a infrastruktura sieciowa narażona jest na atak. W przypadku rozwiązań backupowych ryzyko jest wyższe, ponieważ w trakcie archiwizacji przesyłane są duże ilości ważnych dla przedsiębiorstwa danych. Atakując niezabezpieczone rozwiązanie do backupu, napastnik może uzyskać dostęp do poufnych informacji.

Stosowanie rozwiązań do backupu danych bez odpowiedniego zabezpieczenia sieci komputerowej może prowadzić do ujawnienia poufnych danych lub ułatwienia ataku i zablokowanie możliwości wykonywania kopii zapasowych. Napastnik może uzyskać dostęp do poufnych informacji poprzez nawiązanie połączenia z archiwizowanymi komputerami, odczytanie kopii zapasowych zgromadzonych na serwerze backupu lub poprzez podsłuchiwanie transmisji. Atak typu DDoS może natomiast prowadzić do zablokowania usługi serwera backupu.

Aby wyeliminować te zagrożenia, należy zastosować zabezpieczenia opisane w tym artykule, niezależnie od zabezpieczeń wbudowanych w warstwie aplikacji, czyli w samo rozwiązanie do backupu. Zabezpieczenia wbudowane w Ferro Backup System:

Zagrożenia

W przypadku połączeń sieciowych można wyróżnić takie niebezpieczeństwa, jak:
  1. połączenie klienta z nieuprawnionym serwerem,
  2. przyjęcie połączenia przez serwer z nieuprawnionym klientem,
  3. podsłuchiwanie transmisji pomiędzy klientem a serwerem.
Pierwsza z opisanych sytuacji może wystąpić, jeśli komputer (np. firmowy laptop) zostanie podłączony do obcej sieci komputerowej, w której zostanie uruchomiony fałszywy serwer backupu posiadający taki sam adres IP jak uprawniony serwer backupu. Sytuacja taka może również wystąpić, jeśli napastnikowi uda się wyłączyć prawdziwy serwer backupu w naszej sieci lokalnej i podstawić swój własny komputer o takim samym adresie IP.

Druga sytuacja nie jest tak groźna (nie pozwala na kradzież danych), ale naraża system na atak typu DDoS. Niebezpieczeństwo takie zachodzi wtedy, gdy napastnik ma dostęp do sieci, w której znajduje się serwer backupu.

Trzecia sytuacja może prowadzić do ujawnienia danych przesyłanych między stacją roboczą a serwerem backupu. Wyeliminowanie tego zagrożenia jest szczególnie ważne, jeśli komunikacja pomiędzy klientem a serwerem realizowana jest przez sieć publiczną (np. Internet) bez zestawionej wirtualnej sieci prywatnej (VPN).


Zabezpieczenie

Zabezpieczenie przed tymi zagrożeniami można zrealizować na wiele sposobów. Poniżej przedstawimy zabezpieczenie IPSec, które umożliwia zarówno uwierzytelnienie komputerów, jak i szyfrowanie transmisji.

Cele stosowania reguł IPSec w systemach archiwizacji danych:
  1. zablokowanie połączeń klienta backupu z nieuprawnionym serwerem backupu,
  2. zablokowanie połączeń przychodzących do serwera backupu z nieuprawnionego klienta,
  3. uniemożliwienie podsłuchania transmisji klient - serwer (opcjonalnie) za pomocą szyfrowania.
Zabezpieczenia IPSec wbudowane są w system Windows. Konfiguracja opiera się na regułach. Reguły zbudowane są z filtrów i z akcji. W naszym scenariuszu zabezpieczeń musimy utworzyć dwie reguły: pierwszą dla serwera backupu, a drugą dla wszystkich stacji roboczych należących do systemu archiwizacji.

Ferro Backup System działa na podstawie architektury klient - serwer. Klient (FBS Worker) łączy się z podanym serwerem backupu (FBS Server) za pomocą protokołu TCP na porcie 4531. Jest to jedyne połączenie pomiędzy stacją roboczą a serwerem backupu, za pomocą którego realizowane są zadania backupu i odzyskiwania danych. Poniżej zostaną przedstawione reguły zabezpieczające to połączenie.

Podaną poniżej konfigurację można wykonać za pomocą przystawki Ustawienia zabezpieczeń lokalnych (secpol.msc) lub poprzez GPO.


Implementacja zabezpieczeń na serwerze backupu

Celem jest utworzenie reguły IPSec, która ograniczy połączenia przychodzące na port TCP4531 tylko do zaufanych komputerów i zaszyfruje całą transmisję (opcjonalnie); połączenia z nieuwierzytelnionych komputerów będą odrzucane.
  1. W konsoli MMC "Ustawienia zabezpieczeń lokalnych" wybierz gałąź "Zasady zabezpieczeń IP w Komputerze lokalnym", a następnie wybierz akcję "Zarządzaj listami filtrów IP i akcjami filtrów".
    1. W zakładce "Zarządzanie listami filtrów IP" kliknij "Dodaj..." i stwórz filtr o podanych parametrach:
      1. nazwa: np. "Połączenia przychodzące FBS",
      2. opis: np. "Połączenia przychodzące ze stacji roboczych",
      3. dublowanie/lustrzane odbicie: Tak,
      4. protokół: TCP,
      5. port źródłowy: DOWOLNY,
      6. port docelowy: 4531,
      7. źródłowa nazwa DNS: DOWOLNY,
      8. adres źródłowy: DOWOLNY,
      9. maska źródłowa: 0.0.0.0,
      10. docelowa nazwa: Mój adres IP,
      11. adres docelowy: Mój adres IP,
      12. maska docelowa: 255.255.255.255;
    2. W zakładce "Zarządzanie akcjami filtru" kliknij "Dodaj..." i utwórz akcję o podanych parametrach:
      1. nazwa: Wymagaj zabezpieczeń,
      2. metoda zabezpieczeń: "Negocjuj protokół zabezpieczeń: ",
      3. typ: Niestandardowy,
      4. integralność AH: Brak,
      5. poufność ESP: 3DES,
      6. integralność ESP: SHA1,
      7. okres istnienia: 0/0,
      8. akceptuj komunikację nie zabezpieczoną: NIE,
      9. zezwalaj na nie zabezpieczoną komunikację: NIE,
      10. doskonałe utajnienie przekazywania klucza sesji: NIE.
  2. W konsoli MMC "Ustawienia zabezpieczeń lokalnych" wybierz gałąź "Zasady zabezpieczeń IP w Komputerze lokalnym", a następnie wybierz akcję "Utwórz zasadę zabezpieczeń".
    1. W kreatorze nowej zasady podaj nazwę (np. "Bezpieczne połączenie FBS"), wyłącz opcję "Włącz regułę odpowiedzi domyślnej", a następnie zakończ, edytując nowo utworzoną zasadę.
    2. W oknie "Właściwości: Bezpieczne połączenie FBS" kliknij "Dodaj...", a następnie skonfiguruj ustawienia, tak jak podano poniżej:
      1. w zakładce "Lista filtrów IP" wybierz "Połączenia przychodzące ze stacji roboczych",
      2. w zakładce "Akcja filtru" wybierz "Wymagaj zabezpieczeń",
      3. w zakładce "Metody uwierzytelniania" dodaj metodę "Klucz wstępny" o wartości np. "Moje tajne hasło".
  3. W konsoli MMC "Ustawienia zabezpieczeń lokalnych" wybierz gałąź "Zasady zabezpieczeń IP w Komputerze lokalnym", zasadę "Bezpieczne połączenie FBS", a następnie wybierz akcję "Przypisz".
W przypadku serwera backupu bardzo ważne jest, aby - poza zabezpieczeniem opisanym powyżej, a dotyczącym samego systemu backupu - zabezpieczyć też dostęp do plików kopii zapasowych, które można odczytać za pomocą innych protokołów, takich jak np. SMB/CIFS, FTP, iSCSI, RDP.


Implementacja zabezpieczeń na stacjach

Celem jest utworzenie reguły IPSec, która ograniczy połączenia wychodzące na port TCP 4531 tylko do zaufanego serwera backupu i zaszyfruje całą transmisję (opcjonalnie); połączenia z nieuwierzytelnionym serwerem backupu będą blokowane.
  1. W konsoli MMC "Ustawienia zabezpieczeń lokalnych" wybierz gałąź "Zasady zabezpieczeń IP w Komputerze lokalnym", a następnie wybierz akcję "Zarządzaj listami filtrów IP i akcjami filtrów".
    1. W zakładce "Zarządzanie listami filtrów IP" kliknij "Dodaj..." i stwórz filtr o podanych parametrach:
      1. nazwa: np. "Połączenie wychodzące FBS",
      2. opis: np. "Połączenie wychodzące do serwera backupu",
      3. dublowanie/lustrzane odbicie: Tak,
      4. protokół: TCP,
      5. port źródłowy: DOWOLNY,
      6. port docelowy: 4531,
      7. źródłowa nazwa DNS: Mój adres IP,
      8. adres źródłowy: Mój adres IP,
      9. maska źródłowa: 255.255.255.255,
      10. docelowa nazwa: DOWOLNY,
      11. adres docelowy: DOWOLNY,
      12. maska docelowa: 0.0.0.0.
Wszystkie pozostałe kroki są identyczne jak w przykładzie dla serwera backupu.

Powyższe reguły IPSec należy traktować jako przykłady, z których można korzystać podczas testów. W środowisku produkcyjnym dobrze jest doprecyzować zakresy adresów IP poprzez podanie odpowiednich masek. Koniecznie też należy zmienić metodę uwierzytelniania z klucza wstępnego na certyfikaty lub Kerberos. Jeśli komputery znajdują się w domenie, najlepszą metodą uwierzytelniania będzie Kerberos.


Podsumowanie

Wdrożenie opisanych zabezpieczeń IPSec zagwarantuje, że stacje robocze będą się łączyć tylko z naszym uwierzytelnionym serwerem backupu. Połączenia z podstawionym serwerem backupu zostaną zablokowane. Nasz serwer backupu będzie przyjmował połączenia tylko z uwierzytelnionych stacji roboczych, a połączenia z komputera atakującego będą blokowane. Dodatkowo cała transmisja pomiędzy klientami a serwerem może być zaszyfrowana.


Literatura





Zabezpieczanie połączeń sieciowych
Wszelkie prawa zastrzeżone. © 2000-2022 FERRO Software