Problémy s certifikáty

Nalézt správnou cestu pro distribuci digitálních certifikátů není snadné. Některá řešení jsou velmi problematick


Nalézt správnou cestu pro distribuci digitálních certifikátů není snadné.
Některá řešení jsou velmi problematická.
Jak už jsem se zmiňoval v jednom ze svých minulých příspěvků, naše společnost
stojí na počátku proměny své infrastruktury PKI. Tu současnou jsme kdysi
vytvořili vlastními silami, u nové bychom se rádi spolehli na externí
dodavatele. Zvláště nám jde o to, abychom vybudovali systém, který nám umožní
jednoduše vydávat a rozesílat nové certifikáty v okamžiku, kdy staré expirují.

Prostě to e-mailni
Z historických důvodů posíláme certifikáty uživatelům prostřednictvím šifrované
přílohy e-mailu. Jenže nyní, kdy mají všichni strach z virů a červů, kteří se
šíří prostřednictvím elektronické pošty, musejí naše e-maily projít skrz
nejrůznější firewally, a to nebývá jednoduché. Je třeba využít nějaké metody
pro posílání tzv. bezpečných e-mailů nebo zvolit zcela odlišnou metodu
distribuce. Rozhodli jsme se vyhodnotit několik různých možných přístupů a
zorganizovat několik konferenčních hovorů s výrobci, abychom s nimi mohli
prodiskutovat detaily týkající se jejich řešení. Měli jsme například zajímavou
diskusi s jednou společností, která nabízí balík zajišťující přenos bezpečných
e-mailů. Nakonec jsme se ale po zvážení všech pro a proti rozhodli, že ho
nepoužijeme. A nepoužijeme ani žádný jiný produkt tohoto typu. Proč? Někteří z
našich zákazníků využívají technologie SMIME (Secure Multipurpose Internet Mail
Extensions), jiní PGP (Pretty Good Privacy) a zbytek nějaké proprietární a se
vším ostatním nekompatibilní řešení. Rozhodně se nechceme stát tím, kdo zajistí
synchronizaci všech těchto produktů.

Na webu
Jak jsme postupně procházeli jednotlivé varianty řešení našeho problému,
dospěli jsme k závěru, že správnou odpovědí bude zabezpečený webový server na
platformě MS Windows. K němu se naši uživatelé připojí prostřednictvím hesel,
která jim pošleme e-mailem, a následně jim náš web s podporou SSL (Secure
Sockets Layer) umožní snadno a rychle downloadovat příslušný certifikát.
Zakoupili jsme několik aplikací, které nám umožní ověřit identitu uživatelů a
bezpečně jim doručit certifikáty. Všechny tyto produkty však bohužel vyžadují
operační systém Windows 2000 s IIS (Internet Information Server) a SQL
serverem, které v naší infrastruktuře dosud nepodporujeme. V tomto okamžiku
nemáme k dispozici tým, který by se zabýval podporou tohoto operačního systému
a zajistil jeho monitorování i updatování všemi potřebnými záplatami. Abychom
tento systém mohli úspěšně a pokud možno s minimálními náklady nasadit,
potřebovali jsme vymyslet postup, jak se ochránit před útoky v období, kdy se
objeví nějaká jeho nová slabina a přitom ještě není k dispozici příslušná
záplata. Rozhodně si nemůžeme dovolit nechat v mezidobí otevřené dveře
hackerům. Za nejlepší způsob ochrany v tomto případě považujeme přechod ze
systémů detekce průniků IDS (Intrusion-Detection System), který administrátora
varuje v okamžiku, kdy je systém napaden, na systém prevence útoků IPS
(Intrusion-Prevention System), který automaticky blokuje pokusy o útoky.
Nakonec jsme se rozhodli pro Web Server Edition software společnosti Entercept
Security Technologies. Tento produkt funguje jako gatekeeper (doslova strážce
brány) pro aplikační rozhraní Windows 2000 a provádí monitoring a filtraci
došlých požadavků. Automaticky blokuje pokusy o provedení nekorektních
instrukcí, takže kupříkladu nemůže dojít ani k útokům využívajícím chyb
přetečení zásobníku. Produkt má sice určitou režii v řádu procent, která se
projeví na snížení výkonu celého řešení, ale ve srovnání s náklady na řešení
potenciálních incidentů jsou prostředky potřebné pro pořízení výkonnějšího
hardwaru, který režii vyrovná, minimální.

Důvody pro strach
Ani nejprogresivnější ochranné metody jakéhokoli softwaru samozřejmě nemohou
eliminovat každý bezpečnostní problém. Možná budeme ochráněni před přetečením
bufferu a před běžnými e-mailovými červy, ale vždy je třeba počítat s
případnými dalšími programátorskými chybami, které zeslabují ochranu systémů.
Jeden příklad za všechny. Hosting, provoz a návrh webu zajišťujícího nábor
nových pracovníků naší společnosti pro nás zajišťuje externí agentura. Již
několikrát jsme ji žádali, aby své servery provozovala při splnění stejných
bezpečnostních standardů, které jsou vyžadovány uvnitř naší firmy. Na druhou
stranu je třeba říci, že za jednu z výhod outsourcingu považujeme skutečnost,
že problém bezpečnosti systémů dodavatele spočívá zcela na jeho bedrech. Neměla
by to být naše starost.
Nicméně naší starostí se stala v okamžiku, kdy nám zavolal jeden ze zájemců o
práci, který použil naši stránku, a stalo se mu "něco velmi zábavného". V první
chvíli jsme si o tom nechtěli moc povídat máme i jiné starosti, než poslouchat
zábavné historky, ale když nám vysvětlil, že na chybové stránce, kterou od
serveru obdržel, bylo jméno a heslo správce systému, přece jen jsme se
zarazili. Stačilo několik telefonátů do agentury, abychom zjistili, že onen
zájemce o práci skutečně získal pravé přihlašovací heslo správce. Celý problém
spočíval v tom, že se nějaké stránky, které byly určeny pouze pro účely ladění
webu, dostaly na jeho ostrou funkční verzi. Agentura problém rychle odstranila
a heslo změnila. Není ovšem asi nejšťastnější, když lidem, kteří se zkoušejí
spojit s naší firmou, nabídneme hned na úvod hesla správců systému. Rád bych
věřil, že naše interní servery s Windows a IIS budou bezpečnější. Nemohu se
však ubránit podezření, že také my budeme muset projít podobným procesem učení
se.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.