Erinevus lehekülje "Turvaserveri kasutamine" redaktsioonide vahel
(→Päringute esitamine programmiga wget) |
(→Turvaserveri ja asutuse infosüsteemi või andmekogu vahelise andmevahetuse kontrollimine) |
||
| 91. rida: | 91. rida: | ||
* 192.168.1.1:80 on turvaserveri soketi aadress | * 192.168.1.1:80 on turvaserveri soketi aadress | ||
* eth1 - üle selle võrguseadme toimub turvaserveriga andmevahetus | * eth1 - üle selle võrguseadme toimub turvaserveriga andmevahetus | ||
| + | |||
| + | Praktiliselt on mõnus kogutud liiklust lugeda mõne nö xml-võimelise kliendiga, nt brauseriga, selleks sobib ühendada /tmp/20090909 failisüsteemi nt sshfs abil töökohaarvutile külge. | ||
Tulemusena salvestatakse failisüsteemi andmevahetus, mida on hea kasutada tõrgete avastamiseks. Siit saab teha olulise järelduse, et sellist liiklust sisaldavalt võrgusegmendile või osalevatele arvutitele ei tohiks lubada kõrvalistele kasutajatele ligipääsu. | Tulemusena salvestatakse failisüsteemi andmevahetus, mida on hea kasutada tõrgete avastamiseks. Siit saab teha olulise järelduse, et sellist liiklust sisaldavalt võrgusegmendile või osalevatele arvutitele ei tohiks lubada kõrvalistele kasutajatele ligipääsu. | ||
Redaktsioon: 9. september 2009, kell 09:22
Sisukord
Sissejuhatus
X-tee on andmebaase ja rakendusi ühendav infrastruktuur, mis kasutab andmevahetuseks avalikku võrku (st internetti) ja võimaldab turvalist ja standardiseeritud andmevahetust
- turvalisus tähendab, et osalised on autenditud ja autoriseeritud, andmevahetus on krüptitud, X-teel tehtud toiminguid ei saa eitada
- standardiseeritud andmevahetus tähendab, et X-tee töötavad kliendid ja serverid kasutavad andmevahetuseks kehtestatud protokolli
VMware virtuaalarvuti kasutamine turvaserverina
Arendus ja testimise vajadusteks sobib hästi kasutada turvaserveri jaoks virtuaalset arvutit, nt VMware guesti.
Virtuaalarvuti keskkonna ettevalmistamine
VMware Server v. 2 guest sobib seadistada nt selliselt
kus VMware hosti on moodustatud storage kataloogi flopi tõmmise faili öeldes
# dd if=/dev/zero of=/srv/vmware/turvaserver-test.flp bs=1440 count=1024
Lisaks tuleb guesti seadistustes näidata, et järgmisel alglaadimisel sisenetakse BIOSi ning sealt näidata esimeseks meediaks CD seade.
Turvaserveri tarkvara paigaldamine
Turvaserveri tarkvara jagatakse aadressil http://ftp.ria.ee/pub/x-tee/turvaserver/ .iso tõmmistena, tõenäoliselt on asjakohane kasutada viimast versiooni.
Turvaserveri paigaldamisel sobib teha nt sellised valikud
- Teha valik 'Installeerida X-tee turvaserver
Protseduur lõpeb alglaadimisega ja järgmisel käivitamisel sobib teha nt sellised valikud
- Valida VMware VGA adapter
- Valida USB hiir
- EE klaviatuur
- valida sobiv ekraanilahutus, nt 1024x768
Seejärel käitatavaks X ja küsitakse turvaserveri administraatori parooli.
Tulemusena saab turvaserverisse sisse logida
Turvaserverile veaparanduste rakendamine
TODO
Turvaserveri seadistuse varundamine
TODO
Turvaserveri seadistamine
TODO
SSH ligipääs turvaserverile
Vaikimisi on turvakaalutlustel keelatud turvaserverile ligipääs üle SSH ja avaliku X-tee keskkonnas kasutuses olevas turvaserveris ei ole lubatud SSH ligipääsu sisse lülitada. Eeldusel, et kasutaja on hinnanud asjaolusid saab SSH ligipääsu sisse lülitada, nt selleks, et arenduskeskkonnas turvaserverit otsekohesemalt juhtida, selliselt
- arvuti alglaaditakse nö init=/bin/bash prompti
- eemaldatakse /etc/ssh/sshd_not_to_be_run fail
- määratakse juurkasutajale parool
Üldiselt on sellise järgnevuse kasutamist kirjeldatud üksikasjalikumalt palas Debiani alglaadimine#Operatsioonisüsteemi juurkasutaja ununenud parooli ülekirjutamine. Kuna turvaserveris on kasutusel LILO alglaadur, siis alustada tuleb LILO promptis (turvaserveri LILO lipik on 'linux')
linux init=/bin/bash rw
Lisaks on praktiline määratleda parool kasutajale ui, mille abil sisse logides sobib käivitada turvaserveri haldusliidese, nt sedasi
$ /usr/xtee/bin/turvaserver
Turvaserveri kasutamine
TODO
Turvaserveri ja asutuse infosüsteemi või andmekogu vahelise andmevahetuse kontrollimine
Kui X-tee turvaserveri kaudu X-teele päringud esitava asutuse infosüsteemi töös esineb häireid, on asjakohane esmalt kontrollida, kas andmevahetus X-tee andmekogudega toimib korrektselt. Eeldusel, et turvaserveri ja asutuse infosüsteemi või andmekogu vahel toimub krüptimata andmevahetus, sobib liiklust kontrollida programmiga tcpflow
# mkdir /tmp/20090909 # chmod 0700 /tmp/20090909 # cd /tmp/20090909 # tcpflow -i eth1 host 192.168.1.1 and port 80
kus
- 192.168.1.1:80 on turvaserveri soketi aadress
- eth1 - üle selle võrguseadme toimub turvaserveriga andmevahetus
Praktiliselt on mõnus kogutud liiklust lugeda mõne nö xml-võimelise kliendiga, nt brauseriga, selleks sobib ühendada /tmp/20090909 failisüsteemi nt sshfs abil töökohaarvutile külge.
Tulemusena salvestatakse failisüsteemi andmevahetus, mida on hea kasutada tõrgete avastamiseks. Siit saab teha olulise järelduse, et sellist liiklust sisaldavalt võrgusegmendile või osalevatele arvutitele ei tohiks lubada kõrvalistele kasutajatele ligipääsu.
Päringute esitamine programmiga wget
Kui X-tee turvaserveri kaudu X-teele päringud esitava asutuse infosüsteemi töös esineb häireid, on asjakohane esmalt kontrollida, kas andmevahetus X-tee andmekogudega toimib korrektselt. Üheks otsekoheseks võimaluseks seda kontrollida on esitada X-teele nt tekstifaili kujul ettevalmistatud päring programmiga wget.
$ wget --header='SOAPAction:' --header='Content-Type: text/xml' --post-file paring.xml \ http://192.168.1.1:80/cgi-bin/consumer_proxy
kus
- paring.xml - X-tee päring
- http://192.168.1.1:80/cgi-bin/consumer_proxy - aadress, millel pakub turvasaerver teenust
Taolise päringu tegemiseks peab olema kasutada suhteliselt uus wget programm, nt sobib versioon 1.11.4.
