Поддержи Openmeetings

пятница, 28 февраля 2014 г.

FreeIPA для организации безопасной корпоративной сети

В связи с последними скандальными разоблачениями Сноудена остро встал вопрос о безопасности корпоративных информационных систем. Опубликованные сведения говорят о том, что во многих проприетарных приложениях были созданы так называемые бэкдоры — уязвимости, которые спецслужбы могли использовать в своих целях. Поэтому многие крупные корпорации сейчас обратили свой взор на проекты с открытым исходным кодом для создания полностью безопасных и неуязвимых от внешних вторжений систем.

Одним их подобных проектов является FreeIPA (Free Identity, Policy and Audit), приложение для создания системы управления корпоративной сетью. FreeIPA развивается силами сообщества разработчиков при активной поддержке Red Hat. С помощью FreeIPA можно настроить аутентификацию пользователей, задать для них различные политики доступа и аудита. По сути, это приложение может заменить собой известные решения Microsoft — Active Directory и Forefront Identity Manager. Разница в том, что это проект с открытым исходным кодом, поэтому используя его для своей информационной системы, можно быть уверенным в безопасности доступа к данным.

Системные требования к установке FreeIPA

Минимальные требования к железу для сервера FreeIPA — те же, что и к используемым дистрибутивам: последним версиям Fedora, CentOS или Red Hat. Приложение рекомендуется устанавливать на чистую систему, без каких-либо установленных приложений, кроме системных. Для организации доступа через веб-интерфейс рекомендуется поставить dns-сервер Bind, который в зависимостях инсталлирует Apache и другие необходимые компоненты. Для корректной работы FreeIPA сообщество разработчиков рекомендует ставить Bind именно на компьютер с FreeIPA.

Структура и логика работы FreeIPA

Сеть, созданная с помощью FreeIPA, может состоять из трех и более составляющих, включающих в себя один или несколько серверов, клиентских компьютеров и рабочего места администратора. Сервер поддерживает аутентификацию LDAP и Kerberos.

Рабочее место администратора — клиентский компьютер, только с особыми настройками доступа и специальным ПО для управления FreeIPA. Управление может осуществляться с помощью специальных консольных утилит или веб-интерфейса. Например, добавить пользователя можно, выполнив команду ipa user-add [username] [attributes] в консоли, так и через вкладки веб-интерфейса Identity → Users → Add.

Основные компоненты FreeIPA

Продукт FreeIPA построен на следующих свободных технологиях:

  • Для аутентификации используется Kerberos KDC. Протокол Kerberos намного безопасней стандартной аутентификации, так как он использует симметричную криптосистему и никогда не посылает пароли по сети.
  • Также для аутентификации используются сертификаты, подписываемые с помощью Dogtag Certificate System.
  • Различная информация о пользователях, группах, сервисах, политиках и устройствах сети хранится в 389 Directory Server.
  • Присутствие на локальных устройствах обеспечивает System Security Services Daemon (SSSD). Он отвечает за то, что локальные запросы на аутентификацию и авторизацию будут направлены на сервер FreeIPA.

Перспективы развития

Такое сейчас время, что свободные приложения сейчас стали пользоваться спросом при создании корпоративных информационных систем. Red Hat уже отреагировала на это, увеличив финансирование FreeIPA, и начала активно продвигать продукт. Здравый смысл подсказывает, что именно на FreeIPA можно создать свою безопасную информационную систему. Аудит исходного кода FreeIPA позволяет уменьшить риски того, что кто-то извне сможет получить доступ к данным внутри сети.

Вектор развития FreeIPA направлен на разработку решения по организации доступа сотрудников с мобильных устройств. Актуальность налицо — концепция BYOD (принеси свое устройство на работу) набирает сейчас популярность в крупных корпорациях.

2 комментария :

Alexei комментирует...

Пожалуйста, переведите схему на русский язык

Alexei комментирует...

Ну здесь переводить то особо нечего - это англоязычные термины - единственное место - левая нижняя часть - management interface - интерфейс управления на рабочем месте администратора, соответственно web_ui и command-line tools это доступ с него к серверу через web-интерфейс и через консоль. Остальное сильно не переводится - это термины.

Отправить комментарий