हम दुर्दम्य दीवार के पीछे 1 सी छिपाते हैं

कई सिस्टम प्रशासक, अपनी कंपनी के डेटा की सुरक्षा के बारे में सोचते हैं और विशेष रूप से, 1 सी डेटाबेस की सुरक्षा के बारे में, सरल लेकिन प्रभावी समाधान की उपेक्षा करते हैं - उपयोगकर्ताओं से सर्वर को अलग करते हैं। यह आलेख क्लाइंट के भाग 1C और सर्वर 1C को नेटवर्क के एक सेगमेंट में रखते समय उत्पन्न होने वाले सुरक्षा जोखिमों का विश्लेषण करता है, और सर्वर पार्ट 1C को नेटवर्क के दूसरे सेगमेंट में ले जाने की प्रक्रिया पर विचार करता है। इस लेख में कोई मौलिक नए समाधान नहीं हैं, लेकिन एक संदर्भ उपकरण के रूप में काम कर सकते हैं जो विभिन्न स्रोतों से जानकारी को जोड़ती है।

स्रोत डेटा

• 1C एंटरप्राइज़ 8 क्लाइंट-सर्वर संस्करण;
• एंटरप्राइज 1 सी सर्वर विंडोज सर्वर 2003 ऑपरेटिंग सिस्टम के आधार पर तैनात किया गया है;
• 1C एंटरप्राइज एक समर्पित MS SQL सर्वर का उपयोग करता है, जो Windows Server 2003 ऑपरेटिंग सिस्टम के आधार पर तैनात किया जाता है;
• 1 सी के लिए उपयोगकर्ता पहुंच विंडोज सर्वर 2003 के आधार पर तैनात टर्मिनल सर्वर के माध्यम से किया जाता है;
• सभी सर्वर एक ही नेटवर्क सेगमेंट में हैं, जो सक्रिय निर्देशिका डोमेन के आधार पर तैनात हैं।

सुरक्षा को खतरा

सुरक्षा खतरों की पहचान करने के लिए, हम मौजूदा नेटवर्क में एक यातायात प्रवाह आरेख तैयार करेंगे।

चित्र 1. स्रोत यातायात प्रवाह

चित्रण नोट्स

• "LDAP" का अर्थ एक बंदरगाह नहीं है, बल्कि एक समुच्चय है। सक्रिय निर्देशिका में उपयोग किए जाने वाले पोर्ट और प्रोटोकॉल Microsoft नॉलेज बेस आलेख "Microsoft Windows सर्वर सिस्टम में सेवाएँ और नेटवर्क पोर्ट" में वर्णित हैं। डोमेन नियंत्रक से टर्मिनल सर्वर की आवश्यकता के आधार पर, ये अलग-अलग सेट हो सकते हैं। इस लेख में, मैं बंदरगाहों और प्रोटोकॉल के निम्नलिखित सेट का उपयोग करूंगा:
  

  बंदरगाह	प्रोटोकॉल	नियुक्ति
  88	यूडीपी	करबरोस। यह पोर्ट lsass.exe (स्थानीय सुरक्षा प्राधिकरण सेवा) प्रक्रिया के लिए सुनता है।
  135	टीसीपी	आरपीसी
  139	टीसीपी	NetBIOS सत्र सेवा
  389	टीसीपी / यूडीपी	डोमेन नियंत्रक लोकेटर
  445	टीसीपी	एसएमबी
  1025	टीसीपी	Lsass.exe प्रक्रिया द्वारा उपयोग किया जाता है। अधिक जानकारी यहाँ ।
  -	ICMP	ICMP का उपयोग विभिन्न जानकारी प्राप्त करने के लिए किया जाता है, इसलिए इस प्रोटोकॉल के पैकेट को डोमेन नियंत्रकों की दिशा में स्वतंत्र रूप से पास होना चाहिए।

  
  
  यह सूची डोमेन में प्राधिकरण के लिए और नेटलॉगन स्क्रिप्ट चलाने के लिए पर्याप्त है।
• "एसएमबी" का मतलब बंदरगाहों का एक समूह है जिसकी मदद से एसएमबी प्रोटोकॉल के माध्यम से फ़ाइल विनिमय लागू किया जाता है। यह पोर्ट सेट "LDAP" सेट का एक सबसेट है और इसे यहाँ पर निदर्शी उद्देश्यों के लिए दिखाया गया है।
• "RDP" का अर्थ RDP कनेक्शन है। पोर्ट 3389: 3390 का उपयोग इसके लिए किया जाता है (क्यों दो नीचे वर्णित हैं)।
• "CC" का अर्थ है 1C क्लाइंट के लिए सर्वर के साथ काम करने के लिए आवश्यक पोर्ट। ये पोर्ट 1541, 1560: 1591 हैं (बंदरगाहों के बारे में जानकारी "1 सी: एंटरप्राइज 8.2 - क्लाइंट-सर्वर संस्करण एडमिनिस्ट्रेटर गाइड" से प्राप्त की गई थी)।
• "MS SQL" का अर्थ है MS SQL सर्वर के साथ काम करने के लिए पोर्ट (डिफ़ॉल्ट रूप से - 1433 बंदरगाह)।

हमारे पास क्या है:

• विंडोज सर्वर 2003 ऑपरेटिंग सिस्टम में कमजोरियां हैं जो 1 सी और एमएस एसक्यूएल से संबंधित नहीं हैं, लेकिन इन कमजोरियों का उपयोग करने वाले हमलों से इन अनुप्रयोगों के डेटा पर नियंत्रण पाने में मदद मिल सकती है;
• उपयोगकर्ता SMB प्रोटोकॉल का उपयोग कर एक दूरस्थ सत्र से नेटवर्क कंप्यूटर पर फ़ाइलें स्थानांतरित कर सकते हैं;
• नेटवर्क पर फैलने वाले विभिन्न वायरस सुरक्षा जोखिम भी उत्पन्न करते हैं;
• चूंकि उपयोगकर्ता सर्वर के समान नेटवर्क सेगमेंट पर हैं, विशेष रूप से स्मार्ट लोग MS SQL और 1C पोर्ट के माध्यम से उन्हें कनेक्ट करने का प्रयास कर सकते हैं।

कार्य

1. ऑपरेटिंग सिस्टम की कमजोरियों के जोखिमों को कम करें।
2. टर्मिनल सर्वर से उपयोगकर्ताओं के कंप्यूटर में एसएमबी प्रोटोकॉल के माध्यम से फ़ाइलों को स्थानांतरित करना असंभव है।
3. 1C और MS SQL सर्वर तक उपयोगकर्ता की पहुँच को रोकने के लिए।
4. उन उपयोगकर्ताओं की संख्या कम से कम करें जो RDP प्रोटोकॉल का उपयोग करके अपने कंप्यूटर पर फ़ाइलों को स्थानांतरित कर सकते हैं।

कार्यान्वयन आवश्यकताओं

1 सी एंटरप्राइज़ संसाधनों के उपयोग को सरलता और आसानी प्रदान करने के लिए।

निर्णय

हम आवश्यक ट्रैफ़िक प्रवाह का ट्रैफ़िक पैटर्न तैयार करेंगे।

चित्र 2. आवश्यक यातायात प्रवाह
जैसा कि आप देख सकते हैं, 1 सी के पूर्ण कामकाज के लिए आपको इतनी आवश्यकता नहीं है।

कंप्यूटर	निवर्तमान कनेक्शन	आने वाले कनेक्शन
AD DC	आवश्यकता नहीं है	नेटवर्क पर सभी कंप्यूटर
सर्वर 1 सी	DB सर्वर 1C	टर्मिनल सर्वर
DB सर्वर 1C	आवश्यकता नहीं है	सर्वर 1 सी
टर्मिनल सर्वर	सर्वर 1 सी	उपयोगकर्ताओं

तालिका से पता चलता है कि नेटवर्क को तीन खंडों में विभाजित किया जा सकता है:

1. "सर्वर 1C" + "डेटाबेस सर्वर 1C";
2. "टर्मिनल सर्वर";
3. "उपयोगकर्ता" + "एडी डीसी"।

इसके बाद, मैं " सूचना प्रौद्योगिकी सुरक्षा दिशानिर्देश " से शब्दावली का उपयोग करूंगा । नेटवर्क सुरक्षा ज़ोनिंग ":
ऑपरेशन ज़ोन (OZ) रोजमर्रा के संचालन के लिए मानक वातावरण है, जिसमें अधिकांश उपयोगकर्ता सिस्टम और सर्वर स्थित हैं। गोपनीय जानकारी यहां संसाधित की जा सकती है, लेकिन यह गोपनीय जानकारी के बड़े सरणियों को संग्रहीत करने या महत्वपूर्ण अनुप्रयोगों के लिए उपयुक्त नहीं है।
प्रतिबंधित क्षेत्र (RZ) - महत्वपूर्ण सेवाओं के लिए या गोपनीय जानकारी के बड़े सरणियों के लिए एक नियंत्रित नेटवर्क वातावरण प्रदान करता है।
1-3 कार्य करने के लिए, हम नेटवर्क को कई क्षेत्रों में विभाजित करते हैं:

1. RZ1C - "सर्वर 1C" और "डेटाबेस सर्वर 1C" इस क्षेत्र में प्रवेश करेंगे।
2. RZTS - टर्मिनल सर्वर इस क्षेत्र में प्रवेश करेंगे।
3. OZ - डोमेन नियंत्रक "AD DC" और उपयोगकर्ता इस क्षेत्र में प्रवेश करेंगे।

हम राउटर द्वारा यातायात के मार्ग को विनियमित करेंगे, जिसमें हम आवश्यक नियमों का परिचय देते हैं।

चित्रा 3. नेटवर्क ज़ोनिंग योजना
समस्या 4 को हल करने के लिए, हम निम्नलिखित करते हैं:

• प्रत्येक टर्मिनल सर्वर पर हम मानक एक के अलावा एक नया कनेक्शन बनाएंगे, यह पोर्ट 3390 पर काम करेगा;
• सभी उपयोगकर्ताओं को पोर्ट 3389 से कनेक्ट करने की अनुमति देता है, और केवल टर्मिनलडिस्क समूह के उपयोगकर्ताओं को पोर्ट 3390 पर;
• टर्मिनल सर्वर पर कनेक्शन के गुणों में, क्लाइंट को पोर्ट 3389 पर स्थानीय ड्राइव कनेक्ट करने और पोर्ट 3390 पर स्थानीय ड्राइव के कनेक्शन को सक्षम करने की क्षमता को अक्षम करें।

इस प्रकार, हम केवल स्थानीय ड्राइव को विशिष्ट उपयोगकर्ताओं से कनेक्ट करने की अनुमति दे सकते हैं।

कार्यान्वयन

मार्ग

इस लेख में, मैं राउटर के रूप में जीएनयू / लिनक्स परिवार के ऑपरेटिंग सिस्टम के साथ तीन नेटवर्क कार्ड के साथ एक कंप्यूटर का उपयोग करूंगा। रूटिंग सॉफ़्टवेयर - Iptables। Iptables कॉन्फ़िगरेशन स्क्रिप्ट नीचे दी गई है।

#!/bin/sh echo 1 > /proc/sys/net/ipv4/ip_forward OZ=192.168.0.0/24 RZTS=192.168.2.0/24 RZ1C=192.168.1.0/24 ADDC=192.168.0.1 #     iptables –F iptables –X iptables –-flush #     iptables –P INPUT DROP iptables –P OUTPUT DROP iptables –P FORWARD DROP #     ESTABLISHED  RELATED   TCP  UDP iptables –A FORWARD –p tcp –m state --state ESTABLISHED,RELATED –j ACCEPT iptables –A FORWARD –p udp –m state --state ESTABLISHED,RELATED –j ACCEPT #   RDP   OZ->RZTS iptables –A FORWARD --src $OZ --dst $RZTS –p tcp --dport 3389:3390 –j ACCEPT #  DNS-   RZTS->ADDC, RZ1C->ADDC iptables -A FORWARD –-src $RZTS --dst $ADDC -p udp --dport 53 -j ACCEPT iptables –A FORWARD --src $RZ1C –-dst $ADDC –p udp --dport 53 –j ACCEPT #    Active Directory iptables –A FORWARD --src $RZTS --dst $ADDC –p udp --dport 88 –j ACCEPT iptables –A FORWARD --src $RZ1C --dst $ADDC –p udp --dport 88 –j ACCEPT iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 135 –j ACCEPT iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 135 –j ACCEPT iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 139 –j ACCEPT iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 139 –j ACCEPT iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 389 –j ACCEPT iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 389 –j ACCEPT iptables –A FORWARD --src $RZTS --dst $ADDC –p udp --dport 389 –j ACCEPT iptables –A FORWARD --src $RZ1C --dst $ADDC –p udp --dport 389 –j ACCEPT iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 445 –j ACCEPT iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 445 –j ACCEPT iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 1025 –j ACCEPT iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 1025 –j ACCEPT #   1 iptables –A FORWARD --src $RZTS --dst $RZ1C –p tcp --dport 1541 –j ACCEPT iptables –A FORWARD --src $RZTS --dst $RZ1C –p tcp --dport 1560:1591 –j ACCEPT #  ,    iptables –A FORWARD --src $RZTS --dst $ADDC –p icmp –j ACCEPT iptables –A FORWARD --src $RZ1C --dst $ADDC –p icmp –j ACCEPT iptables –A FORWARD --src $OZ --dst $ADDC –p icmp –j ACCEPT # REJECT   iptables –A FORWARD –j REJECT # REJECT   iptables –A INPUT –j REJECT 

स्क्रिप्ट नोट

ड्रॉप कार्रवाई केवल पैकेट और iptables को "भूल जाती है" अपने अस्तित्व को भूल जाती है। "अस्वीकृत" पैकेट उनके आंदोलन को पूरी तरह से रोक देते हैं, अर्थात। उन्हें अन्य तालिकाओं में स्थानांतरित नहीं किया जाता है, जैसा कि ACCEPT कार्रवाई के साथ होता है। यह याद रखना चाहिए कि इस क्रिया के नकारात्मक परिणाम हो सकते हैं, क्योंकि यह सर्वर साइड पर और क्लाइंट की तरफ से "मृत" सॉकेट को खाली नहीं छोड़ सकता है, विशेष रूप से पोर्ट स्कैन ( इप्टा ट्यूटोरियल ) के खिलाफ सुरक्षा के लिए सबसे अच्छा तरीका यह है कि आप तुरंत कार्रवाई का उपयोग करें।

यदि टर्मिनल सर्वर पर एचएएसपी कुंजी स्थापित नहीं हैं और लाइसेंस प्रबंधक एक अलग नेटवर्क पर है, तो आपको कई क्रियाएं करने की आवश्यकता है।

1. UDP और TCP पैकेट को राउटर से गुजरने की अनुमति पोर्ट 475 पर टू-वे डायरेक्शन लाइसेंस_ सर्वर <-> Client_1C में दें।
   
   iptables –A FORWARD --src _ --dst _ –p udp --dport 475 –j ACCEPT
iptables –A FORWARD --src _ --dst _ –p tcp --dport 475 –j ACCEPT
iptables –A FORWARD –-src _ --dst _ –p udp --sport 475 –j ACCEPT
iptables –A FORWARD –-src _ --dst _ –p tcp --sport 475 –j ACCEPT

   
2. Nethasp.ini फ़ाइल में लाइसेंस सर्वर के पते को इंगित करें (प्रोग्राम की निष्पादन योग्य फ़ाइल के समान निर्देशिका में स्थित होना चाहिए)।
   --------------------- nethasp.ini-------------------------------
[NH_COMMON]
NH_TCPIP = Enabled
...
[NH_TCPIP]
NH_SERVER_ADDR = 168.192.1.10 // ip- , .
NH_TCPIP_METHOD = TCP
NH_USE_BROADCAST = Disabled
---------------------------------------------------------------


मैपिंग क्लाइंट स्थानीय ड्राइव

विज़ुअल विजार्ड्स का उपयोग करते हुए, हम टर्मिनल सर्वर पर नया सुनने का पोर्ट नहीं जोड़ सकते हैं: इसके लिए यह आवश्यक है कि ये कनेक्शन अलग-अलग इंटरफेस से सुलभ हों, या अलग-अलग प्रोटोकॉल का उपयोग कर रहे हों, जैसा कि भाग्य को धोखा देते समय दिखाई देने वाली त्रुटि से संकेत मिलता है।

चित्रा 4. मौजूदा मापदंडों के साथ एक नया कनेक्शन बनाने का प्रयास
हालाँकि, यह परिदृश्य हमें शोभा नहीं देगा।
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\_ कनेक्शन का नाम "RDP-Tcp" है, और इसके बारे में जानकारी रजिस्ट्री कुंजी HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\_
एक नया कनेक्शन बनाने के लिए, आपको यह करना होगा:

• फ़ाइल को निर्दिष्ट रजिस्ट्री शाखा को * .reg एक्सटेंशन के साथ निर्यात करें;
• पाठ संपादक के साथ इस फ़ाइल को खोलें;
• निर्यात फ़ाइल को बदलें
• निर्यात फ़ाइल में लाइन पोर्टनंबर को ढूंढें और संख्यात्मक मान को 0xd3e में बदल दें (दशमलव प्रणाली में 3390, हालांकि आप किसी अन्य का उपयोग कर सकते हैं);
• रजिस्ट्री में परिणामी फ़ाइल आयात करें।

वर्णित जोड़तोड़ के बाद, हम TerminalDisk समूह बनाएंगे और इसमें उन लोगों को जोड़ेंगे जिन पर हम स्थानीय डिस्क की मैपिंग पर भरोसा करते हैं।
फिर, हमारे नए कनेक्शन के गुणों में, हम संकेत देते हैं कि केवल TerminalDisk समूह ही इससे जुड़ सकता है और स्थानीय डिस्क की मैपिंग की अनुमति दे सकता है, और पुराने कनेक्शन के गुणों में हम डिस्क और क्लिपबोर्ड की मैपिंग को अक्षम कर देंगे।

निष्कर्ष

भविष्य में, आप घुसपैठ पहचान प्रणाली शुरू करके योजना को मजबूत कर सकते हैं।
वह सब है। मुझे आशा है कि किसी को यह सामग्री उपयोगी लगेगी। सादर और शुभकामनाएं।

सूत्रों का कहना है

1. सूचना प्रौद्योगिकी सुरक्षा दिशानिर्देश (ITSG-38) - नेटवर्क सुरक्षा ज़ोनिंग (जोनों के भीतर सेवाओं के स्थान के लिए डिज़ाइन विचार) - http://www.cse-cst.gc.ca/its-sti/publications/itsg-cst//gg38- eng.html
2. Microsoft Windows सर्वर सिस्टम पर सेवाएँ और नेटवर्क पोर्ट - http://support.microsoft.com/kb/832017 ।
3. सक्रिय निर्देशिका प्रतिकृति ट्रैफ़िक और क्लाइंट RPC ट्रैफ़िक को एक विशिष्ट पोर्ट पर प्रतिबंधित करना - http://support.microsoft.com/kb/224196/en-us ।
4. Iptables (Iptables Tutorial 1.1.19) के लिए गाइड - http://www.opennet.ru/docs/RUS/iptables/ ।
5. मैं Windows 2000/2003 टर्मिनल सर्वर पर एक नया आरडीपी श्रवण पोर्ट कैसे जोड़ सकता हूं? - http://www.petri.co.il/add_a_new_rdp_listening_port_to_terminal_server.htm
6. 1 सी: एंटरप्राइज़ 8.2। क्लाइंट-सर्वर विकल्प। व्यवस्थापक गाइड
7. 1 सी ठेठ समस्याएं जब एचएसपी के साथ काम कर रही हैं - http://itunion.com.ua/article.php?id=39 ।