Server v nezabezpečené místní síti - jak na bezpečné připojení?

[ant.hej]

Zdravím,
potřeboval bych vyřešit jeden menší problém.
Mám místní síť(resp. intranet), přes kterou se mi budou připojovat vybraní uživatelé na server, který připojím k této síti. Síť spravuje jiný subjekt(IT oddělení), ten má kontrolní pravomoci pro uživatelské stanice (tzv. dálková správa PC , pravděpodobně možnost odposlouchávat jakoukoliv komunikaci po síti atp.).

Potřebuji na tomto serveru skladovat citlivá data, která by ani správci sítě neměli možnost jakkoliv získat.
Problémy, které řeším jsou tedy tyto:

1) Uživatelé mého systému nebudou mít přístup k samotnému serveru, správce serveru nebude moci být k dispozici každý den, tudíž je třeba zajistit takový systém, kdy se pověřený pracovník vždy dostane do systému.
2) Z technických důvodů nelze mít síť oddělenou od stávajícího intranetu, není možné stanice uživatelů zabezpečit před "správou" IT oddělení
3) Server bude připojen do intranetu s vědomím IT oddělení, nicméně bude spravován bez jeho přístupu či pomoci
4) Nelze využít externí sítě (Internet)

5) Správce sítě může bez vědomí pověřeného uživatele vidět jeho pracovní stanici, co na ní dělá, instalovat programy atd, tudíž i v pohodě odposlechnout zadané heslo (keyloggery atd)
  - Nelze využít certifikátu v PC, kdokoliv by jej mohl zcizit
  - statické heslo nejspíš nepřipadá v úvahu

Jako možnost řešení jsem uvažoval o dynamickém přidělování hesla, nicméně řeším, jak takové heslo dostat k danému uživateli a zabránit zneužití hesla jinými uživateli na stejném pracovišti.
 - Teoreticky může server poslat vždy nějaké pseudoheslo, pracovník si jej podle nějakého jeho známého algoritmu převede na heslo a to použije
 --> IT oddělení může zachytit pseudoheslo a heslo a porovnáním (třeba podle více hesel za více dní) zjistit algoritmus a pak stačí odposlechnout pseudoheslo a je uvnitř....šifrování hesla taktéž nemusí vyřešit problém, když nemám, jak bezpečně na uživatelově PC zadat, nebo skladovat dešifrační klíč.

Je tento problém vůbec řešitelný jinak, než fyzicky oddělenou sítí? Uživatel by měl být schopen se denně připojit přes svoji stanici skrze PHP prostředí, tak, aby i odposlechnuté údaje nebylo možno použít k získání přístupu k datům.

A ještě jedna otázka k serveru: Z výše uvedených důvodů bude třeba PHP a MySQL spravovat přímo ze zařízení serveru, je k tomu vhodnější běžné Ubuntu, nebo serverová distribuce? Maximální počet pracovníků bude 5-10, takže se neočekává velká zátěž na server (kerý by měl běžet na stolním PC).

Díky za případné odpovědi, rady a postřehy.
A.

[Standa99]

Potřebuju spojit magnety stejnými póly k sobě, ale nevím jak na to, tak nějak chápu předchozí dotaz.
Umístit zabezpečený server ve firmě, kde se nedůvěřuje ani vlastnímu IT oddělení, které běžně nahlíží přes vzdálenou plochu do klientských stanic, nebo je odposlouchává pomocí keylogerů? To už si raději předávejte zašifrované USB flashky na nějakém předem domluveném konspiračním místě v přesně dohodnutou dobu. A heslo k šifře si raději ani nešeptejte.

[Šuohob]

data nejde nikdy spolehlive ochranit - a uz vubec ne, pokud ma nekdo pristup ke klientske stanici.

co se distribuce tyce, je temer jedno, jestli pouzijes ubuntu, nebo treba debian

[Standa99]

Napadlo mě akorát něco se smartcard , k ní čtečku do USB a při přihlášení k serveru by to ověřilo (navíc i) tu kartu (nebo např. otisk prstu). Samozřejmě nevím jak, ani jestli by to šlo, kdyby stanice byly s windows atd.

https://wiki.debian.org/Smartcards

[macu]

No teda, co to je za projekt že máš na něj kladany až tak utopické nároky prosímtě?

1) Píšeš "správce serveru nebude moci být k dispozici každý den" - no to je logický, ale spravovat server sám je naprostá blbost, minimálně musíš mít aspoň 1 osobu, která jej bude spravovat s tebou....v případě, že tě přejede auto tak kdo bude danou problematiku dále řešit? Tady máš další a možná ještě větší bezpečnostní riziko, na to je třeba myslet.
4) To by šlo řešit připojením z domu na nějaký jiný server (u nás řešeno přes Citrix (Win platforma) - nicméně osobně mne to irituje, protože dostat 64bit klienta do mého domácího Ubuntu znamená úpravu deb balíčků,jelikož Citrix receiver stále závisí na podělaných 32bit knihovnách) a následně z tohoto serveru už se v rámci vnitřní sítě připojíš na tvůj server.

body 2, 3 a 5 bych asi zařadil do říše konspirací a utopie - správcům je v podstatě putna, co spravují, ti mají své práce dost a nemají náladu ani čas šmírovat ostatní....největší bezpečnostní riziko máš u klasických pc stanic běžných uživatelů....kdokoli jim může být za zády a dívat se, co dělají, nebo odejdou na záchod a nezamknou si obrazovku či se neodhlásí ze systému, předávají si mezi sebou hesla od systémů (u nás ve firmě už jsem zažil bezpočet případů, kdy si lidé píšou hesla do kalendářů postavených na PC, musí je předávat vedoucím, protože v dělají problematiku, na kterou ostatní nemají práva a v případě nemoci či dovolené a při problému to prostě někdo z oddělení opravit musí, nebo vedoucí dávají hesla svým sekretářkám, aby danou práci za ně udělaly atd).
Na to tvoje ověřování se ti za chvíli snese na hlavu tolik kritiky, že to neuneseš. Už jen představa, že uživatel musí měnit heslo 1x za 3 měsíce je pro ně hrůza a děs. Chceš-li zabezpečit jedinečnost uživatele, použij biometriku (otisk prstu, scan sítnice, rozpoznávání obličeje,hlas) nebo čtečku s čipovou kartou (nesmí ti ji ale nechat na stole a odejít si na kafe)

Uživatel by měl být schopen se denně připojit přes svoji stanici skrze PHP prostředí, tak, aby i odposlechnuté údaje nebylo možno použít k získání přístupu k datům.

SSL by to vyřešilo, ne?

A ještě ti přidám jednu konspirační teorii - když ti IT oddělení odpojí fyzicky disk či diskové pole a připojí jinam - opět další bezpečnostní riziko u nedůvěryhotného IT oddělení, ne ;-)  A co zálohování a jeho bezpečnost? ;-)