Administriranje

Početna / Proizvodi i rešenja / Instalacija, podrška i održavanje / Administriranje

Bit Projekt već dugi niz godina radi instalaciju, početnu administraciju i daljinsku administraciju aktivne mrežne opreme u mrežama najrazličitijih arhitektura i stepena složenosti.

Iza nas je ogromno iskustvo i veliki broj uspešnih projekata koji garantuju našu spremnost i stručnost za projektovanje, organizaciju i administraciju serverske infrastrukture bilo kog tipa.

Administracija servera

Linux serveri

Mail server

Mail server na linux-based OS-evima predstavlja čitav niz aplikacija i programa koji se istovremeno instaliraju:

  • postfix – de fakto standard za SMTP (MTA) server
  • dovecot – POP3/IMAP server
  • roundcube – web mail klijent
  • postfixadmin – web aplikacija za administraciju mail korisnika
  • mysql – baza podataka u kojoj se čuvaju korisnici
  • amavis – daemon koji predstavlja interfejs između MTA i content check-era (antispam i antivirus)
  • SpamAssassin ‒ spam filter čija je efikasnost preko 90%, objedinjuje heurističku analizu i razvrstavanje pristigle pošte upotrebom antispamerskih crnih lista (detalji na http://spamassassin.apache.org/ );
  • ClamAV ‒ besplatni antivirus program čija se antivirusna baza dnevno obnavlja, koriste ga brojni internet provajderi, univerziteti i kompanije širom sveta (detalji na http://www.clamav.net/ ).

Mail server se konfiguriše tako da prihvata svu dolazeću poštu i odbacuje poruke s virusima i spam poruke. Postoji mogućnost instaliranja veb interfejsa za lako administriranje mail usera i alias mail naloga, pravljenje forward pravila, autorespondera i sl.

DNS server

Standard za DNS server, ne samo na linuxu vec i na internetu je BIND. Osim toga što podržava sigurni prenos zonskih fajlova, BIND takođe podržava i ćirilične domene, master-slave režim rada gde se vrši prenos zonskih fajlova i sve ostale mehanizme modernih DNS servera.

Web Proxy sa antivir skeniranjem u realnom vremenu

Osim imejlova, glavni izvor širenja zlonamernog koda jesu web stranice sumnjivog sadržaja. Zbog toga se preporučuje da u svakoj mreži na linux serveru bude instaliran web proxy s antivirusnom zaštitom. U tu svrhu koristi se:

  • SQUID proxy ‒ najrasprostranjeniji web proxy (detalji na http://www.squid-cache.org/ );
  • DansGuardian Web Content Filter ‒ obezbeđuje antivirusno real-time skeniranje saobraćaja, a osim toga radi i kao content filter (filtriranje veb stranica s pornografskim, drugs i ostalim nedozvoljenim sadržajem). Detaljnije na http://dansguardian.org/.

Dodatni efekat uvođenja proxy servera je što smanjuje opterećenje internet linka, jer će često posećivane veb stranice biti zapamćene u proxy kešu i prikazivaće se trenutno.

Domain kontroler

Windows domain kontroler ne mora obavezno da bude neki od windows serverskih operativnih sistema. Windows domen kontroler može se implementirani i na Linux OS-u korišćenjem Sambe. Samba ovaj zadatak obavlja isto tako dobro kao i windows server, u nekim slučajevima i bolje.
Glavne karakteristike Sambe su :

  • skalabilnost ‒ testovi pokazuju da Samba server trpi više konkuretnih konekcija u odnosu na komplementarni Windows server;
  • performanse ‒ po testovima transfer fajlova sa Samba servera i na njega brži je nego kod komplementarnog windows servera
  • sigurnost ‒ kombinacija Linux/Samba je za red veličine sigurnija od windows pandana, iz prostog razloga što Samba ima ograničene privilegije na sistemu.

Na Samba domen kontroleru standardno se rade i sledeći postupci:

  • uvodi se fajl sistem koji podržava ACL-ove (access control lists), što omogućuje granularnu kontrolu pristupa deljenih fajlova/foldera po grupama i po korisnicima;
  • uvode se restriktivna prava pristupa u skladu sa situacijom na terenu;
  • definišu se useri i grupe;
  • instalira se veb interfejs (SWAT ili Webmin) za olakšanu administraciju samog domen kontrolera (Sambe) i prava nad fajlovima/folderima;
  • instalira se real time antivirusna zaštita (ClamAV antivirus), koja skenira sve fajlove koje radne stanice upisuju/čitaju iz šerovanih foldera na domain kontroleru.

Detaljnije na http://www.samba.org/.

Web Server

Kao veb server uobičajeno se instalira Apache web server, uz opcijsku podršku za PHP skripting i MySQL bazu podataka. Kombinacija LAMP (Linux-Apache-PHP-MySQL) najpopularnija je platforma za razvoj veb aplikacija i hostovanje veb prezentacija i gotovo 70% svih sajtova na internetu koristi ovu kombinaciju.

Detaljnije na http://www.apache-org/.

Dodatne mere bezbednosti

Iako su Linux serveri sami po sebi veoma sigurni, svaka instalacija Linux servera i dodatno se obezbeđuje sledećim mehanizmima:

  • upotrebom IP lista pristupa (access lists);
  • instaliranjem softvera za IDS na serveru (intrusion detection system);
  • korišćenjem SSL protokola za daljinsko administriranje;
  • instaliranjem isključivo softvera esencijalnog za funkcionisanje servera uz deaktiviranje nepotrebnih daemona i procesa;
  • nema korisničkih naloga na serveru, osim administratorskog (root) naloga; korisnički nalozi otvaraju se strogo na backend serveru;
  • uključivanjem zaštite u kernelu operativnog sistema protiv prelivanja bafera i steka (buffer and stack overflow);
  • strogo definisanje prava pristupa datotekama i sistemskim fajlovima.

Windows serveri

Domain kontroler

Najčešća uloga Windows servera u bilo kojoj računarskoj mreži jeste uloga domain kontrolera, tj. servera koji autentifikuje usere i daje pristup određenim mrežnim resursima. Počevši od Windowsa 2000, Microsoft je uveo aktivni direktorijum kao centralno mesto na kome se drže informacijame o svim korisnicima, radnim stanicama i serverima u mreži. S druge strane, svaki Windows server u AD obavezno postaje i domain kontroler i bilo koji vrši autentifikaciju korisnika. Standardno sve verzije Windows servera dolaze s neophodnim softverom i lako mogu da se konfigurišu kao:

  • web server
  • DNS server
  • DHCP server
  • domain kontroler u aktivnom direktorijumu
  • routing i remote access server
Exchange server

Exchange Server omogućava slanje i primanje elektronske pošte kao i komunikaciju preko računarske mreže putem drugih interaktivnih formi. Iako je primarno dizajniran za rad s Microsof Outlookom, kada se i koriste njegovi puni potencijali, Exchange serveru mogu pristupati bilo koji imejl klijenti (Outlook Express, Mozilla Thunderbird itd.). Glavne osobine su:

  • laka administracija ‒ Exchange server je integrisan u aktivni direktorijum tako da nema potrebe za stvaranjem posebnih usera i grupa;
  • mogućnost kolaboracije ‒ postoji mogućnost pravljenja rasporeda, organizovanja radnih zadataka i kontakata između korisnika;
  • web interfejs ‒ moguće je lako napraviti veb interfejs odakle će korisnici moći da proveravaju poštu, task listu, kalendar i sl.;
  • mogućnost sinhronizacije s mobilnim uređajima ‒ postoji podrška za mobilne uređaje kao što su Pocket PC ili pametni mobilni telefoni, koja omogućava sinhronizaciju mailboxa, kontakata, kalendara i task liste na mobilnom uređaju.
SharePoint Portal Server

SharePoint Portal Server omogućava preduzećima da razviju inteligentni portal koji stalno povezuje korisnike, timove i znanje, tako da zaposleni mogu iskoristiti relevantne informacije u poslovnim procesima da bi što efikasnije obavljali posao. SharePoint Portal Server poslovno je rešenje za preduzeća koje integriše informacije iz različitih sistema u jedistvenu prijavu korisnika i mogućnosti integracije aplikacija preduzeća uz fleksibilne opcije i alatkama za upravljanje. Portal olakšava saradnju koja se nudi svim korisnicima omogućavajući sakupljanje, organizovanje i mogućnosti pretrage ljudi, timova i informacija. Korisnici mogu brzo da pronađu odgovarajuću informaciju prilagođavajući i personalizujući sadržaj i izgled portala, kao i mogućnošću podešavanja za ciljnu grupu. Preduzeća mogu usmeravati informacije, programe i ažuriranja publike na osnovu njihove uloge u preduzeću, članstvu u timu, interesima, sigurnosnoj grupi ili bilo kom drugom kriterijumu članstva koji se može definisati.

SharePoint Portal Server koristi Web lokacije Microsoft Windows SharePoint Services za kreiranje stranica portala za zaposlene, informacije i preduzeća. Portal takođe proširuje mogućnosti Windows SharePoint Services Web lokacija alatkama za organizaciju i upravljanje i omogućava timovima da objavljuju informacije na svojim lokacijama za čitavo preduzeće.

ISA Server

ISA Server je napredni firewall koji radi na aplikativnom sloju. Osim toga ISA podržava i VPN-ove i radi funkciju standardnog web proxija. Samim tim, korisnicima se pruža mogućnost dizanja sigurnosti mreže na viši stepen, čak i u distribuiranim mrežama s velikim protokom.
Glavne osobine:

  • laka administracija i korišćenje ‒ postoje gotovi wizardi za kreiranje firewall pravila i inicijalno setovanje ISA-e;
  • napredne tehnike zaštite i analize ‒ kako ISA radi na aplikativnom sloju, ima mogućnost dublje analize saobraćaja kao i postavljanje naprednih firewall pravila;
  • integracija u aktivni direktorijum ‒ na jednostavan način pojedinim korisnicima ili korisničkim grupama može se dozvoliti/zabraniti pristup određenim sadržajima na internetu;
  • podrška za VPN ‒ realizovana je i podrška za VPN (virtual private networks).

Sigurnost mreža

Zaštita routera

Ruteri kontrolišu pristup LAN-a prema internetu i samim tim su prva meta hakera. Jedna od uloga rutera je da radi advertising svih mreža povezanih na njega, što znači da probojem rutera haker može da sazna mnogo o samoj strukturi LAN-a i tako izvrši i dalji prodor ka serverima, radnim stanicama i ostalim mrežnim uređajima. Sigurnost rutera je kritični element zaštite svake mreže. Osnovne tehnike zaštite rutera su:

  • zabrana pristupa telnet protokolom na ruter ‒ uvek treba koristiti kriptovane protokole za pristup, npr. ssh;
  • isključivanje SMTP protokola na ruteru;
  • isključivanje svih nepotrebnih servisa na ruteru ‒ routing protokola koji se ne koriste, web pristupa i sl.;
  • kontrola pristupa ruteru ‒ korišćenjem ACL lista ili TACACS-a;
  • pristup ruteru s odgovarajućim stepenom privilegija ‒ ukoliko nije neophodan pristup u administratorskom modu, recimo u slučaju testiranja konekcije, uređaju treba pristupati kao korisnik s ograničenim privilegijama;
  • autentifikacija i provera updata.

Zaštita switcheva

I kod switcheva (i layer 2 i layer 3), slično kao kod rutera, treba uvesti dodatne mere zaštite. Switch se obično podešava tako da radi segmentaciju saobraćaju na layeru 2 korišćenjem VLAN-a. Većina postupaka vezanih za zaštitu rutera odnose se i na zaštitu switcheva, a standardno se preduzimaju i dodatne mere zaštite:

  • deaktivirati sve neupotebljene portove na switchu ‒ ovo sprečava hakere da se priključe na nekorišćene portove/mrežne utičnice i tako ostvare komunikaciju s ostatkom mreže;
  • portove koji ne rade u trunking modu treba eksplicitno setovati tako da ne koriste trunking (ne ostavljati na auto) ‒ ovim se sprečava da neki od hostova iskoristi trunking i prima mrežni saobraćaj koji njemu nije namenjen;
  • portovi koji rade trunking treba da budu u posebnim VLAN-ovima ‒ naročito voditi računa da trunking portovi ne ostanu u defaultnom VLAN-u;
  • limitirati pristup portovima switcha po MAC adresama (max 2-3 MAC adrese) ‒ čime se sprečavaju MAC flooding i ostali tipovi napada iznutra;
  • pažljivo dizajnirati i implementirati VLAN-ove ‒ LAN podeljen na VLAN-ove i u sadejstvu s firewallom daje in-depth sigurnost;
  • koristiti autentifikacione mehanizme ukoliko to switchevi podržavaju ‒ uz pomoć 802.11 standardna i Radius servera.

Zaštita mreže korišćenjem firewalla

Firewall je uređaj koji filtrira mrežni saobraćaj ka internetu i od njega, mada se u nekim slučajevima koristi i unutar samog LAN-a za obezbeđivanje servera s posebno osetljivim podacima (database server, aplikativni server i sl.). U principu svaka lokalna računarska mreža s izlazom na internet, ma koje veličine i stepena složenosti, mora da ima firewall. Firewall je kritična komponenta mrežne sigurnosti ‒ dobro podešen firewall u ogromnoj meri smanjuje rizike upada u mrežu kao i mogućnost zaraze radnih stanica malicioznim programima (virusi, trojanci i sl.). Još jedna bitna osobina firewalla je mogućnost ograničavanja protoka (peer-to-peer, http, ftp i sl.). Po defaultu se firewall setuje s izuzetno striktnim pravilima filtriranja, što znači da se sav saobraćaj zabranjuje, a onda se po potrebi otvaraju određeni portovi pojedinim računarima ili grupi računara u LAN-u.

Primer jednostavnog LAN-a s firewallom

Zaštita mreže uvođenjem demilitarizovane zone (DMZ)

adi dizanja sigurnosti lokalne mreže uveden je koncept demilitarizovane zone (DMZ). DMZ je poseban mrežni segment gde se nalaze tzv. bastion hostovi, tj. računari koji su vidljivi s interneta i kojima se stoga ne može bezrezervno verovati ‒ ma koliko mala, verovatnoća hakerskog upada na neki od ovih servera uvek postoji. Bastion hostovi su najčešće serveri ‒ mail server, web server, proxy server i sl.

Lajt motiv uvođenja DMZ-a je ‒ mora postojati barijera kojom se ostatak računara u LAN-u štiti i od samih bastion hostova. Treba strogo na firewallu definisati saobraćaj ka/od radnih stanica ka internetu, ka/od interneta do bastion hostova i ka/od radnih stanica u LAN-u ka bastion hostovima. Postoji nekoliko načina za uvođenje DMZ-a.

DMZ sa jednim firewallom koji poseduje tri mrežna interfejsa

Ovakav način uspostavljanja DMZ-a ima prednost cene ‒ koristi se samo jedan firewall. Nedostatak je očigledan ‒ ukoliko haker kompromituje firewall na dlanu su mu i serveri u DMZ-u kao i računari i serveri u LAN-u.

DMZ sa dva firewalla

Konfiguracija DMZ-a s dva firewalla predstavlja mnogo sigurnije rešenje ‒ ukoliko padne prvi firewall, potencijalni napadač mora da savlada i sledeći firewall da bi uspeo da prodre u LAN gde se nalaze najosetljiviji i najkritičniji podaci koje treba zaštititi. To iziskuje dodatni napor i vreme napadaču i daje određenu prednost administratorima mreža i dovoljno vremena da reaguju, otklone probleme i eliminišu uljeza. Preporučljivo je da se za firewall biraju dva različita proizvoda da se ne bi desilo da zbog nekog sigurnosnog propusta oba budu kompromitovana u isto vreme. Nedostatak ove konfiguracije je cena i razmerno uvećano vreme konfigurisanja i održavanja.