Uživatelé by se měli věnovat jen své práci

Zajištění společného přihlašování ke všem síťovým zdrojům naráží na řadu problémů, mimo jiné napříkla...


Zajištění společného přihlašování ke všem síťovým zdrojům naráží na řadu
problémů, mimo jiné například na numerická uživatelská jména. Redesign sítě v
tom sice nepomůže, zato však umožní omezit nežádoucí činnosti uživatelů.
Od okamžiku, kdy jsem byl povolán ze zálohy do amerických vzdušných sil, musím
naprostou většinu svého času věnovat novým povinnostem. V současnosti jsem
naštěstí umístěn na území USA a mám přístup k rychlému internetovému
připojení, takže se alespoň mohu relativně pravidelně přihlašovat do naší
podnikové LAN, kontrolovat svou e-mailovou schránku a přistupovat k serverovým
zdrojům. Jsem rovněž schopen se účastnit virtuálních porad týkajících se
projektů, které jsem před svým odchodem řídil nebo ke kterým jsem nějakým
způsobem přispíval.
Jedním z takových projektů je vytvoření centralizovaného autentizačního
systému pro naše servery běžící pod operačním systémem Solaris. V současnosti
mé oddělení řeší problém kompatibility související se systémem eDirectory
společnosti Novell a s jeho schopností efektivně zpracovávat autentizační
požadavky z těchto serverů.
Další problém vznikl díky zavádění nových uživatelských jmen. Běžně používáme
jména založená na jednoduchých konvencích zpravidla jsou tvořena spojením
prvního písmene jména uživatele a jeho celým příjmením. Osobní oddělení naší
společnosti se však rozhodlo, že k přístupu do systému PeopleSoftu budeme
používat jako identifikační jména číselná uživatelská ID.
Můj tým používá k uchování zmíněných numerických uživatelských jmen eDirectory
a ten samý systém chceme použít i pro unixovou autentizaci uživatelů tak, aby
naši zaměstnanci měli možnost se v jednom okamžiku přihlásit ke všem zdrojům
prostřednictvím SSO (single sign-on). Byl jsem však upozorněn, že některé
autentizační moduly Solarisu nemusejí s numerickými jmény pracovat.
A konečně třetí problém souvisí s našimi servery RSA SecurID, které jsou
zodpovědné za dvoufaktorovou autentizaci využívající tokenů. Zkonfigurovali
jsme je tak, aby rozpoznávaly standardní uživatelská jména, která odpovídají
našim síťovým přihlašovacím jménům. Tato autentizace však vykazuje problémy v
okamžiku, kdy se chceme k systému přihlásit prostřednictvím terminálových
služeb Microsoftu.

Další komplikace
Aby byla situace ještě komplikovanější, používáme pro uchování informací o
uživatelích systém Active Directory Windows 2000. Tyto informace potom
používáme k přihlášení do e-mailového systému Microsoft Exchange Server a k
přístupu ke sdíleným adresářům souborového systému Windows. Přihlášení do
PeopleSoftu pak slouží pouze k přístupu do systému lidských zdrojů a k systému
pro výplatu mezd.
Rozhodli jsme se, že nejvhodnějším řešením zřejmě bude nakonfigurovat
eDirectory tak, aby v něm byly pro uživatelská jména dvě položky: Jedno pro
PeopleSoft a další pro autentizaci v Unixu.
Krásou adresářových služeb je to, že zbytek atributů, jako např. uživatelův
domácí adresář, jeho standardní shell nebo skupina mohou být nastaveny tak,
aby byly korelovány k uživatelské identifikaci Solarisu bez toho, že by měly
vliv na přihlašování do PeopleSoftu.
Hůře řešitelným problémem je nekompatibilita systému Solaris 8 s eDirectory,
kterou jsem již zmiňoval v jednom ze svých dřívějších příspěvků. Abychom tento
problém vyřešili, plánovali jsme použití buď DirXML od Novellu nebo open
source knihovny PADL, což je integrační nástroj LDAP (Lightweight Directory
Access Protocol) od australské společnosti PADL Software. Mohli bychom tento
problém vyřešit také přechodem na Solaris 9, protože jeho verze klienta LDAP
pracuje s eDirectory lépe. Ale tato migrace je ještě minimálně rok před námi,
takže teď si musíme poradit jinak.
Zdá se však, že se problém vyřeší nakonec sám. Právě jsem se totiž dozvěděl,
že firma Sun uvolnila záplatu pro svého klienta LDAP v Solarisu 8, která
zlepšuje kompatibilitu s eDirectory. Dosud sice o tomto řešení nemám dostatek
informací, ale rozhodně představuje první cestu, kterou se zkusíme vydat.
Zneužívání sítě Kromě spolupráce při řešení výše uvedených problémů současně
pracuji rovněž na projektu, který by měl zabránit zneužívání sítě aplikacemi
pro instant messaging a programy pro sdílení souborů. V rámci naší firmy byla
nedávno jednoznačně zavedena politika, která zaměstnancům zakazuje využívání
firemních zdrojů pro aktivity, které se netýkají naší společnosti. Ne všichni
ji však začali ihned dodržovat.
Při čtení našich logů z IDS jsme zjistili, že největší problém týkající se
zneužívání IT infrastruktury firmy mají na svědomí uživatelé programu Yahoo
Messenger a programů pro sdílení souborů, jakými jsou Kazaa a Morpheus.
Používání těchto programů snižuje produktivitu, zbytečně ucpává naše
komunikační spoje a zvyšuje nebezpečí útoku na naši síť, protože si uživatelé
stahují soubory, které mohou být infikovány softwarovými špiony (spyware) nebo
viry.
Můžeme sice naše firewally a routery nakonfigurovat tak, aby blokovaly
přístup k těmto neautorizovaným aplikacím a webům, ale toto řešení není
všemocné. Problémem totiž je, že tyto služby nejsou neautorizované pro
každého. Například naše skupina technické podpory používá Yahoo Messenger k
tomu, aby jeho prostřednictvím mohla se zákazníky řešit jejich softwarové
problémy, a oddělení IT bezpečnosti potřebuje přístup k webovým stránkám s
hackerskou tematikou za účelem výzkumu.

Naše síť
Dosud ale nejsme schopni blokovat přístup uživatelů podle jejich IP adresy,
protože používáme server DHCP (Dynamic Host Configuration Protocol), který
uživatelům přiděluje novou IP adresu pokaždé, když se připojí k síti. K tomu
se navíc přidává skutečnost, že pro celý areál společnosti používáme jeden
rozsah IP adres, takže nemůžeme ani jednoduše zablokovat přístup ke službám z
nějaké oblasti IP adres.
Dobrou zprávou ovšem je, že naše síťové oddělení začalo s redesignem firemní
IT infrastruktury, a tak v blízké budoucnosti dojde k segmentaci sítě.
Oddělení síťových operací, sekce vývoje, naši kvalitáři, bezpečnostní
oddělení, personální oddělení, finanční oddělení a mnohá další budou mít každé
svůj vlastní rozsah IP adres. To umožní nakonfigurovat náš firewall nebo
přístupové seznamy routerů pro každé oddělení zvlášť.
Budeme tak schopni blokovat přístup nejen k ilegálním službám internetu, ale
také k aplikacím, jejichž používání je legitimní pouze pro uživatele z
nějakého oddělení. Síťový tým tak bude např. schopen nakonfigurovat firewall
tím způsobem, že zabrání technické podpoře v přístupu k aplikaci zajišťující
výplatu mezd a naopak zabrání všem kromě lidí z technické podpory v užívání
Yahoo Messengeru. Na našem příštím mítinku máme v úmyslu diskutovat ještě o
tom, jak našim zaměstnancům zabránit v přístupu k mnoha dalším neautorizovaným
webům.
V průběhu času dochází vzhledem k mezinárodní politické situaci ke snižování
potřeb armády, a tak doufám, že mě brzy propustí zpět do civilu. Svůj příští
příspěvek tak snad už napíšu zase ze své domácí pracovny.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.