Opgaver for henholdsvis en FLIS Sikkerhedsansvarlig og for alle kommunens FLIS SFTP-brugere Indhold 1 Indledning... 2 1.1 Overgang til SSH-nøgler på FLIS SFTP-server... 2 1.2 Hvad er SSH-nøglepar... 2 2 Hvem i min kommune skal udføre omlægning?... 2 2.1 FLIS Sikkerhedsansvarlig... 2 3 Gennemførsel af omlægning... 3 Bilag 1 Vejledning til oprettelse af SSH-nøgler... 5 Opret SSH nøgle... 6 1
1 Indledning 1.1 Overgang til SSH-nøgler på FLIS SFTP-server I øjeblikket logger FLIS SFTP-brugere på med userid/password kombineret med IP-adresse whiltelisting. KOMBIT vurderer at denne logon-metode ikke er tilstrækkelig sikker ud fra generelle krav til IT-sikkerhed og ud fra kravene fra GDPR. Det er derfor vigtigt hurtigt at få højnet sikkerheden på dette punkt. Nærmere bestemt er det besluttet at overgå til SSH-nøglepar som logon-metode på FLIS SFTP-server. Det følgende er en vejledning til kommunerne om, hvordan de løser deres del af denne meget vigtige opgave. Omlægningen af kildeleverandører sker separat uden direkte involvering af kommunerne og behandles ikke i nærværende vejledning. Det er vigtigt at omlægningen af de kommunale SFTP-brugere sker så hurtigt som muligt og KOMBIT vil nedlægge de brugere, der ikke er omlagt, den 1. november 2019. 1.2 Hvad er SSH-nøglepar Et SSH-nøglepar er et par af krypteringsnøgler bestående af en offentlig krypteringsnøgle og en privat krypteringsnøgle. Den enkelte SFTP-klient tilknyttes et sådant nøglepar og SFTP-serveren oplyses kun om den offentlige krypteringsnøgle. Derefter kan SFTP-klienten logge sikkert på SFTP-serveren ved brug af sin private nøgle. 2 Hvem i min kommune skal udføre omlægning? 2.1 FLIS Sikkerhedsansvarlig En vigtig del af omlægningen til SSH-nøgler skal, som det fremgår af nedenstående, varetages af en kommunal medarbejder, der har rettigheden FLIS sikkerhedsansvarlig i FLIS Administrationsportal: https://admin.eflis.dk/. Logon på Administrationsportalen sker via Context Handler fra den fælleskommunale infrastruktur. Brugere skal forlods være tildelt systembrugerrollen Sikkerhedsansvarlig for at kunne agere som FLIS Sikkerhedsansvarlig. Brugere vil efter logon kunne se deres roller i Administrationsportalen under menupunktet Administration -> Brugere. Er man usikker på hvem der har rollen Sikkerhedsansvarlig kan det være en god idé at rette henvendelse til kommunens STS-projektleder eller alternativt til kommunens ITbrugeradministration. KOMBIT har desværre ikke fuld indsigt i hvilke brugere, der har denne rolle. Der findes for øvrigt en omfattende vejledning i opsætning af rettigheder til brug via Context Handler her: STS Administration. 2
3 Gennemførsel af omlægning Det følgende beskriver trin for trin, hvordan omlægningen skal udføres. For den enkelte kommune vil der være opgaver for henholdsvis en FLIS Sikkerhedsansvarlig og for alle kommunens FLIS SFTP-brugere. Kommunens Sikkerhedsansvarlige: 1) Log på FLIS Administrationsportal og få fremvist en liste af kommunens SFTP-brugere under Administration. Bemærk, at nærværende opgave omfatter alle brugere der fremgår af den pågældende liste, uanset om de organisatorisk ikke tilhører kommunen. 2) Afklar med den kommunale IT-afdeling hvilket værktøj, de kommunale SFTP-brugere skal benytte til generering af SSH-nøglepar. Nærværende vejledning tager udgangspunkt i WinSCP. Afklaringen kan eventuelt overlades til de kommunale SFTP-brugere, hvis disse besidder den fornødne ekspertise. 3) Kontakt hver enkelt kommunal SFTP-bruger og bed denne om at indgå i omlægningen iht. nærværende vejledning og iht. det eventuelt valgte værktøj. Den enkelte kommunale SFTP-bruger: 4) Modtag henvendelse fra Sikkerhedsansvarlig 5) Sørg for at det valgte værktøj til generering af SSH-nøglepar er installeret 6) Generer et SSH-nøglepar (Bilag 1 Vejledning til oprettelse af SSH-nøgler beskriver fremgangsmåden i det tilfælde, der anvendes WinSCP) 7) Overdrag filen med den offentlige SSH-nøgle til den FLIS Sikkerhedsansvarlige på en sikker måde, f.eks. ved brug af sikker e-mail. Filnavnet bør være på formen brugernavn.pub, hvor brugernavn er SFTP-brugernavnet. Kommunens Sikkerhedsansvarlige: 8) Modtag fil med SFTP-brugers offentlige SSH-nøgle 9) Log ind på FLIS Administrationsportal 10) Find den aktuelle SFTP-bruger under menupunktet Administration -> Brugere 11) Vælg Rediger bruger i kolonnen længst til højre 12) Upload filen med den offentlige SSH-nøgle: 3
Den enkelte kommunale SFTP-bruger: 13) Modtag besked via e-mail fra FLIS om at omkonfigureringen via Rediger bruger på SFTPserveren er fuldført. 14) Omkonfigurér SFTP-klienten til at bruge det generede SSH-nøglepar til logon. 15) Hvis SFTP-klienten ikke længere virker: opret en sag via administrationsportalen eller ring/skriv til driftsleverandørens Servicedisk 4
Bilag 1 Vejledning til oprettelse af SSH-nøgler FLIS SFTP SERVER [Title] Version: 1.0 5
Opret SSH nøgle Ved at følge denne step-by-step vejledning, kan du nemt oprette en SSH nøgle, så du stadig har mulighed for at logge på FLIS SFTP server fremover. Det er en forudsætning at du har WinSCP installeret på din PC, eller selv henter en version af PuTTY Key Generator. Åben WinSCP, i login vinduet, tryk på Tools, og vælg Run PUTTYgen. I vinduet sikre du dig at RSA er checket af nederst i vinduet, og at der står 2048 i boksen. Når dette er sikret, trykker du på Generate. 6
Du følgre så vejledningen, ved at trække musen hen over det blanke område, indtil den grønne bar er fyldt op, og der kommer et nyt vindue frem. 7
Din SSH nøgle er nu generet, men du skal først sikre filen med en kode, før du gemmer nøglen. Dette gøres ved at indtaste en personlig sikker kode i Key passphrase boksen, og gentager koden i bekræftelses boksen forneden. Du trykker derefter først på Save public key», og gemmer filen et sted på din computer, med navnet: Username.pub. Username erstatter du med dit brugernavn til SFTP serveren. Når dette er gjort trykker du på «Save private key», og gemmer filen et sikkert sted på din computer med navnet Username. Username erstatter du med dit brugernavn til SFTP serveren. Din Private Key er en fil som kun du må have adgang til, da det er den nøgle du skal bruge for at logge ind på serveren. Det er derfor vigtigt at du gemmer nøglen et sikkert sted. Din Public Key er den fil som Netcompany skal bruge, og skal derfor gemmes et andet sted end din Private Key. 8