Dotaz: Zabezpecenie intranetu (Apache + PHP + MySQL)

Pozdravujem vsetkych,

riesim otazku ohladne zabezpecenia pristupu do firemneho intranetu (dochadzka, uctovnictvo, riadenie projektov...) zalozeho na vlastnej aplikacii PHP5. Ako web-server je pouzity Apache2, databaza je MySQL5. Prihlasovanie do intranetu sa robi cez uzivatelske meno a heslo.

Vsetko bezi na jednom serveri pod SuSE10, ktory je umiestneny na vnutornej sieti. Momentalne sa do intranetu pristupuje iba z vnutornej siete cez port 80. Ak sa potrebujem dostat do intranetu cez internet, prihlasim sa najskor do vnutornej siete cez VPN.

Teraz ale potrebujem umoznit pristup aj externym pracovnikom z domacich pocitacov (cca 10 osob), cize uvazujem o sirsom spristupneni intranetu z vonku. Mam nasledovne moznosti, ale neviem s istotou posudit mieru bezpecnosti pre jednotlive sposoby:

1. Na firewalle jednoducho presmerovat vsetky poziadavky prichadzajuce na porte 80 na web-server na vnutornej sieti. Prihlasovanie z vonku by bolo zadanim verejnej IP: https://123.123.123.123
2. Na firewalle otvorim iba konkretny port, napr. 9898 a vsetko z neho presmerujem na vnutorny web-server na port 80. Prihlasovanie z vonku by bolo v tvare: https://123.123.123.123:9898
3. Kazdemu klientovi vytvorim pristup do VPN siete a vysvetlim postup instalacie klienta.
4. Do prihlasovacieho formularu pridat opis alfanumerickeho obrazku pre eliminaciu utokov robotmi na webe.
5. Celu aplikaciu premiestnit na virtualny server, ktory bude zaveseny na chrbticovej sieti u nejakeho poskytovatela tejto sluzby. K tomuto rieseniu chcem pristupit aj z hladiska lepsej dostupnosti intranetu z vonku aj za cenu spomalenia pristupu z fir. LAN.

>> Moje nazory:

• do tretej moznosti sa mi velmi nechce. Jednak je to pracne a potom sice zabezpecim intranet, ale zaroven otvorim cestu do vnutornej siete zo sukromnych pocitacov.
• najviac uvazujem nad kombinaciou bodov 2+4+5, ale neviem presne akych bezp. rizik by som sa mohol v tomto pripade obavat.

Dakujem za Vase rady a nazory.

Záleží na tom, jak dobře je ta aplikace a server zabezpečený. Variantu 2 bych zamítl rovnou, nezanedbatelný počet lidí se na web na nestandardním portu nedostane. Varianta 4 je zbytečná, nic tím nevyřešíte. Varianta 3 znamená, že k serveru nadále budou moci přistupovat jen vaši lidé, takže teoreticky nemusí být tak dobře zabezpečen (můžete bezpečnost ošetřit třeba organizačně) – je dobré si ale uvědomit, že podle výzkumů většina útoků pochází zevnitř. Varianta 1 a 5 znamená vystavit server na internetu, takže jak server tak aplikace musí být zabezpečená. Zadávání IP adresy bych se úplně vyhnul, vytvořte pro ni nějaký DNS záznam (vaše firma nejspíš už nějakou doménu má, takže by neměl být problém do ní přidat jeden další záznam).

Ja bych zvolil pouziti VPN. Externi pracovniky by slo dat do jine site, nez je zbytek vnitrni site, a pak neni problem je dostatecne zabezpecit ve firewallu jen na zaklade rozsahu IP.

Nevim co pouzivate za VPN, ale na vetsinu VPN klientu jde vyrobit primo instalacni balicek vc. certifikatu nebo predvyplnenych pristupovych udaju, pujde pak i lehce nekomu zakazat pristup jen na strane VPN serveru zakazanim jeho pristupu.

U externich lidi clovek nikdy nevi, co maji v pocitaci za bordel a je to mnohem slozitejsi uhlidat, zda neco v pocitaci maji nebo ne, klidne by se mohlo stat, ze se dostanou prihlasovaci udaje do spatnych rukou a v pripade spatne napsane aplikace muze byt problem. Zvlast, kdyz bude aplikace volne pristupna z Internetu.
Pri pouziti VPN je alespon v ceste vice prvku, ktere je potreba prekonat.

Dalsi moznosti je presmerovat verejnou IP na vnitrni webserver, ale mozna doplnit o filtr IP adres, aby se tam nedostal kazdy, ale jen povoleni lide, ale zde je zase problem s tim, ze se nekterym muzou menit IP adresy a ti lide se muzou pohybovat i po vice mistech s ruznyma adresama.

Co se týče zabezpečení přístupu na server, IMHO je nejjednodušší použít HTTPS, případně jej podpořit klientskými certifikáty. Přesun na nestandardní port může být výhodný; případné problémy s tím, že se tam jeden zaměstnanec nedostane lze vyřešit individuálně.

VPN je pro takovýto druh přístupu dost těžkopádné a navíc celá myšlenka VPN je lehce proti filozofii internetu. Typicky se může stát, že Váš zaměstnanec bude mít na své domácí síti nebo na síti v hotelu stejný privátní rozsah, jako máte ve firmě, a budete to muset řešit. Proto je metodicky lepší řešit zabezpečení jednotlivých služeb zvlášť (SSL) nebo mít zabezpečení komunikace počítač-počítač pomocí transport režimu IPSec.

Je potřeba ošetřit/odlišit přihlašování z domova verzus z veřejných míst (kavárny). V domácím prostředí je hrozba malware, zcizení přihlašovacích údajů, nebo hijackingu přihlášeného sezení poměrně malá, ale na veřejných místech to může být kámen úrazu. Tomu můžou napomoct zmíněné klientské certifikáty, nebo spíše HW tokeny (od renomovaných výrobců, žádné "hyper security" krámy za 10 korun).

Dále přehlížíte jednu podstatnou věc a to že zpřístupněním interní služby zvenku si děláte díru do interní sítě. Bude-li ve Vaší aplikaci PHP chyba, bude mít v lepším případě přihlášený a v horším případě i nepřihlášený uživatel možnost použít server pro invazi do vnitřní sítě. Pokud nemáte vnitřní síť zabezpečenou proti sobě sama (což je případ drtivé většiny firemních sítí), dejte alespoň server do DMZ, odkud nebude mít libovolný přístup do interní sítě.

Pokud aplikace bude sbírat data z dalších zdrojů na síti, budete muset nějak ošetřit případné probourání útočníka i tam (např. triviálně telnet na docházkové terminály, atd).

Podobným principem, pokud se rozhodnete pro server hosting/housing/VPS na páteřní síti, budete muset nějak vyřešit bezpečný přísun dat na server z Vaší firmy. V tomto případě může v případě probourání na server tento kanál být zneužit opět pro přístup do Vaší interní sítě.

Myslím si, že OpenVPN je dobrá volba. Certifikát je nainstalován u klienta, určitá bezpečnost je zajištěna. Já to tak praktikuji z domova nebo z chalupy, kdy se připojuji na firemní síť.

Priklanim se k hodnoceni bodu 2 jako ne prilis resici problem bezpecnosti. Co se bodu 4 tyce, je to spise vec zabezpeceni aplikace jako takove, jak bude odolna proti utokum.

Da se tedy bud pouzit HTTPS, kdy je chranen prenos, ale prakticky to neresi ani jeden konec (client-server) od dalsich utoku, nicmene nic se s tim nezkazi (https neni na portu 80 ).

Pripadne reseni pomoci VPN muze zvysit zabezpeceni komunikace, ale jiz bylo zmineno, slaby clanek muze byt pocitac na "druhe strane" (client) a jeho "dalsi" aplikace. Nicmene, ma-li byt alespon nejake zabezpeceni a minimalni pozadavky na doinstalovavani veci, muze se rozchodit napr. i pptp server (zvlada standartni windowsovsky VPN klienty). Dale resit filtrovanim provozu techto spojeni (napriklad takove spojeni umozni jen navazat spojeni na dany server, ne jinam). Vyhoda je takova, ze se muze logovat kdy kdo a odkud se prihlasuje, a v pripade, ze nedo bude mit "moc" pokusu dostat se i jinam, bude zaznam koho ucet je ten "zly"...

Omezeni na konkretni IP (filtrovani) take nic neresi (bylo jiz take zmineno), ne vsichni maji verejnou (a hlavne pevnou) adresu. Viz predchozi odstavec.

Samotne umisteni na virtualni server neresi otazku bezpecnosti. Pokud aplikace ma neco delat, musi davat spravne udaje. Pokud je nebezpeci, ze se nekdo dostane kam nema, je asi problem s aplikaci a je-li pristupna z venku (a nekdo bude mit zajem) stejne budou upraveny data at je to na vlastnim serveru, nebo nekde "mimo sit".

Ulozeni prihlasovacich udaju v php souboru nevidim primarne jako problem. Pokud budou spravne nastavena opravneni na soubory, pripadne (take bylo zmineno) v extra adresari s .htaccess, melo by to stacit. Pokud se k tomu nekdo presto dostane, asi bude problem trochu vetsi .

Osobne bych resil presmerovani portu (idealne kombinace s https - presmerovat oboje a pokud nekdo zada jen http:80 presmerovat ho na https:443). Dale bych nastavil nejake filtrovani napr. max 30 spojeni za minutu z jedne adresy a podobne (iptables). V pripade citlivejsich dat bych pouvazoval o nejake forme VPN - pokud se jedna o "bezne" uzivatele, asi bych zvazil pro toto konkretni reseni pptp server.

Z uvedenej diskusie mi je jasne, ze nech sa budem snazit akokolvek zabezpecit spristupneny intranet zvonku, zostane zabezpeceny iba proti utokom o ktorych viem. Zostanu tam stale este utoky o ktorych neviem a tych je ako vidim dost - a toto mi citelne vadi.

Idem si to trosku skomplikovat a pokusim sa ist na to takto:

1. Intranet na vnutornej sieti necham z vonku uzavrety.
2. Na ServerHostingu bude spustena jednoduchsia verzia intranetu, kde budu dostupne iba nevyhnutne funkcie pre externych pracovnikov. Pristup na tento pocitat bude z verejnej siete, autorizacia bude menom a heslom. Zabezpeceny bude samozrejme tak dobre ako sa da.
3. Do DMZ zony umiestnim komunikacny server, na ktorom bude vnutorny intranet aktualizovat DB paralelne podla diania vo firme (nie celu DB, iba to co chcem vidiet zvonku).
4. Na komunikacnom serveri bude spustena aplikacia, ktora bude v kratkych casovych intervaloch posielat aktualizovane data na vonkajsi intranet a zaroven odtial stahovat nove data.
5. Vnutorny intranet sa bude tiez v nejakych casovych intervaloch pozerat na komunikacny server, ci tam nieje nieco nove - ak hej, tak si to vlozi do svojej DB.
6. Spristupnit cele uctovnictvo touto formou na urovni editacie a pridavania urcitych zaznamov by bolo dost zlozite z hladiska zachovania integrity dat. Na tento ucel dostane dotycna osoba firemny NB s predinstalovanou VPN a bez administratorskych opravneni.

Toto riesenie mi samozrejme skomplikuje v aplikaciach pristup do DB a vyzaduje to dalsiu pracu navyse, ale myslim ze to bude stat za to. Navyse mi zostane bezat vnutorny a vonkajsi intranet autonomne, takze nemusim riesit dilemu kam vlastne celu aplikaciu umiestnit - vzdy by zostala jedna strana za internetovym pripojenim firmy.

Casovo to bude takto urcite narocnejsie, ale ten NB sa da spachat velmi rychlo a ostatni par tyzdnov vydrzia.