OZ 2004/2

M 79 ORGANIZACIJA ZNANJA 2004, LETN. 9, ZV. 2 POROČILO primeru delovanja realne spletne rešitve so bili prikazani izseki “dobre” in “slabe” izvorne kode v okolju ASP. NET. V praksi so bili predstavljeni osnovni varnostni elementi zaščite e-dokumentov. Povedano je bilo, kdaj uporabiti e-podpis, poudarjen pa je bil pomen načela WYSIWYS (ang. What You See Is What You SIGN). Nato je bilo prikazana vloga avtentikacije in avtorizacije ter kako zanikati e-podpis in kdaj je časovno žigosanje neizogibno. Na koncu so bili predstavljeni primeri napa- dov “digital-signature injection” in vsiljivega trojanskega konja, nakazan pa je bil tudi pomen e-arhiva. Network Access Quarantine Control – kako omejiti oddaljeni dostop z nezaščitenih odje- malcev Danes je povezovanje domačih računalnikov in notes- nikov v omrežje podjetja že vsakdanjost, pri tem pa se lahko zgodi tudi to, da lahko zaradi neustrezne zaščite od- jemalcev nastopijo težave, ki lahko v najhujšem primeru privedejo do izpada dela omrežja in tako ohromijo po- slovanje. Primer je širjenje virusa ali črva po datotečnem sistemu ali e-pošti, ki povzroči veliko dela antivirusnemu programu v sicer zaščitenemu okolju in s tem porablja vire (ljudi in čas) za normalno delo; ali pa prekomerno obremenjevanje omrežnega prometa, ki ohromi omrežne povezave. Microsoftov Windows Server 2003 Network Access Quarantine Control omogoča omejevanje prijave oddaljenih računalnikov v notranje omrežje, če nastavitve računalnika niso v skladu z varnostno politiko podjetja. Možna je tudi povezava z namensko strojno opremo, vendar mora ta podpirati možnost karantene. Tadej Vidrih, samostojni svetovalec in zunanji sodelavec podjetja SRC.SI , je povedal, da je tako omejevanje name- njeno večjim podjetjem, ki imajo enega ali več strežnikov RRAS/RADUIS in prijavo v aktivni imenik, pri tem pa morajo biti zaščiteni pred možnimi problemi zaradi prija- ve nezaščitenih oddaljenih računalnikov. V osnovi gre za to, da se pri prijavi VPN ali klicni prijavi ( dial-up ) odje- malca na prijavni strežnik preko aktivnega imenika določi skupinska politika (Group Policy), v kateri je določeno, kaj vse se na odjemalcu preveri. Navadno je stvar rešljiva preko prijavnih skriptov (VBS), ki npr.: • namestijo varnostni certifikat, • preverjajo, ali je zagnan in posodobljen antivirusni program, • ali so nameščeni zadnji popravki (ali pa vsaj tisti kri- tični), • ali je vključeno samodejno zaklepanje namizja. Prav zaradi tega je potrebno veliko administrativnega dela, saj se morajo prijavni skripti nenehno ažurirati glede na varnostne razmere. Prav iz tega razloga je izvedba take rešitve namenjena podjetjem, ki imajo veliko oddaljenih odjemalcev in zanje druge, elegantnejše rešitve (npr. ter- minalski dostop) niso ustrezne. Če zaščita oddaljenega računalnika ni zadovoljiva, se uporabnika obvesti, kaj vse je treba postoriti, da bo do- stop do omrežja podjetja možen (navadno je to spletna stran). Uporabniku se v tem primeru dovoli dostop samo do omrežja, ki je v karanteni in je torej ločeno od “prave- ga” omrežja, do katerega želi. V tem omrežju je navadno tudi strežnik, ki služi za distribucijo antivirusne zaščite, varnostnih popravkov, certifikatov itd. Ker pa imajo oddaljeni odjemalci navadno lokalne ad- ministratorske pravice na svojem računalniku, imajo možnost zagnati program (seveda če znajo), ki omogoči dostop do omrežja izven karantene. Vidrih poudarja, da namen te rešitve ni, da bi onemogočili dostop odjemal- cev, ker je interes ravno nasproten, čeprav v principu lahko tudi to storimo (prekinemo povezavo). Ta problem se rešuje z dodelano varnostno politiko podjetja, s katero morajo biti odjemalci seznanjeni in ki natančno oprede- ljuje ravnanje v takih primerih. Namreč uporabnik mora prevzeti odgovornost, saj neznanje ne opravičuje krivde. Na predavanju je bila prikazana VPN-prijava odjemalca, prijavni skript pa je preverjal, ali je zagnan antivirusni program. Skript VBS je namreč izkoriščal WMI, da je ugotovil, ali je zagnan servis na postaji Windows XP. Pri prvi prijavi antivirusni program ni bil zagnan in uporabni- ku se je prikazalo naročilo, naj si aktivira antivirusni pro- gram. Dostop je bil omejen samo v karanteni, predavatelj pa je pokazal, kako lahko to zaobidemo. Pri ponovni pri- javi je bil antivirusni program zagnan in prijava v omrež- je je bila takojšnja. Rešitev Disaster Tolerant z gručo MS Windows Server 2003 Aleš Kodrič, sistemski inženir v podjetju LANCom, in Smiljan Švarc, vodja IT-službe na Pošti Slovenije, sta predstavila rešitev Disaster tolerant v Pošti Slovenije. Smiljan Švarc je poudaril, da so tako rešitev potrebovali zaradi izpolnjevanja zakonskih določil in predvsem zara- di zagotavljanja visoke razpoložljivosti sistemov kot te- melja novih e-storitev, s katerimi Pošta Slovenije postaja zanesljiv partner tudi na tem področju. Z novim strežnikom Windows 2003 so bile gruče še iz- boljšane in posodobljene, kljub temu pa takšne gruče zagotavljajo visoko razpoložljivost v primeru izpada strojne ali programske opreme enega od strežnikov v gru- či, ne zagotavljajo pa visoke razpoložljivosti v primeru naravne ali druge katastrofe (potres, požar ...). Strežniške aplikacije, kot so Microsoft SQL ali Microsoft Exchan-