Как решить проблему безопасности при доступе мобильных пользователей к ресурсам локальной сети
В последнее время все чаше сотрудникам, находящимся за пределами локальной сети своего предприятия, необходимо иметь доступ к корпоративным данным, находящимся в ней. При этом системные администраторы, отвечающие за корпоративную сеть, должны регламентировать доступ пользователя к внутренним ресурсам, независимо от того, из какого места произведено подключение.
Рис.1. Получение доступа к ресурсам локальной сети
Рассмотрим ситуацию, изображенную на рис. 1. К локальной сети предприятия необходимо организовать доступ различным группам пользователей. Удаленно подключиться могут:
- Сотрудники организации с мобильными ПК;
- Сотрудники организации, работающие со стационарных ПК, например из дома или Интернет-кафе, которым нужно подключиться к электронной почте, базе данных и пр.
- Сотрудники организаций - партнеров или организаций - клиентов, которым необходим доступ к информационным порталам, расположенным в защищенной части корпоративной сети, за межсетевым экраном (МЭ).
При соединении двух локальных сетей, всю заботу по организации защищенного соединения берут на себя VPN-шлюзы, многие из которых совмещены с МЭ. Поэтому пользователи могут работать с удаленными ресурсами организации, не производя каких-либо изменений на своих рабочих станциях.
Но что же делать, когда речь идет не о всей организации, а об отдельных пользователях? В этом случае, на их ПК должно быть установлено и настроено специальное программное обеспечение (ПО) для построения традиционных IPSec VPN-тоннелей.
В подобных случаях легче всего обеспечить пользователей мобильных ПК необходимым ПО. Упрощается задача еще и тем, что в большинстве случаев, в офисе и в разъездах, эти сотрудники используют один и тот же ПК – свой лаптоп. Все параметры этих лаптопов устанавливаются и контролируются системными администраторами. А, отключаясь от локальной сети и уезжая, например, в командировку, они, как правило, не меняют такие параметры как логические буквы дисков, стиль работы с почтой и пр.
Сложнее работать с сотрудниками, использующими, например, домашний стационарный ПК для получения доступа к ресурсам своей организации. Хотя, формально, администратор может получить доступ к такому компьютеру, однако администрировать его чрезвычайно сложно ввиду многих причин, а зачастую просто невозможно. Большая опасность заключается в том, что невозможно контролировать содержимое жесткого диска этого ПК. В результате, компьютер, на котором практически невозможно обеспечить корпоративную политику безопасности, получает доступ в сеть. Безусловно, он может стать источником проникновения вирусов и прочих программ, содержащих вредоносный код.
Еще более сложное положение с предоставлением доступа сотрудникам организации-партнера или клиента. Мало того, что практически невозможен доступ к рабочим компьютерам для администрирования, так еще и на МЭ компании-партнера необходимо произвести определенные изменения для пропуска нужного трафика.
В результате то решение, которое прекрасно работает при соединении локальных сетей отдельных подразделений или организаций, очень трудно реализовать при организации подобного доступа для отдельных пользователей.
Специально для таких подключений и была разработана новая технология, реализованная в устройствах - SSL VPN-шлюзах. Основным ее отличием от традиционных IPSec VPN-решений является то, что связь осуществляется на высшем уровне 7-ми уровневой модели ISO - на уровне приложений. Еще одно важное отличие SSL VPN от IPSec VPN заключается в том, что никакого программного кода, в привычном его понимании, на стороне клиента не требуется, так как может использоваться простой браузер.
Ярким примером устройства, в котором удачно реализована эта технология, является SSL VPN – шлюз iGate от американской компании SafeNet. На территории России и стран СНГ интересы этого всемирно известного разработчика и производителя представляет официальный дистрибьютор - Rainbow Technologies. iGate внедрен и успешно функционирует как в ведущих американских страховых компаниях, банках, Европарламенте, так и в ряде крупнейших банков на территории стран СНГ. Благодаря тому, что в версии iGate, созданной для отечественного рынка, используются сертифицированные ФСБ российские криптоалгоритмы (криптопровайдер Крипто Про CSP 3.0. ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.10-2001), его можно использовать не только в коммерческих организациях, но на государственных предприятиях и учреждениях.
Основные функциональные характеристики программно-аппаратного комплекса iGate SSL VPN
Поддержка Web - и клиент-серверных приложений
Кроме традиционных WEB-приложений iGate поддерживает технологию VPX (Virtual Private Anywhere) (Рис.2). Она позволяет пользователям, прошедшим регистрацию, работать с любыми приложениями «клиент-сервер», использующими TCP-IP-протокол. То есть, пользователь, находясь за пределами своей локальной сети, может прозрачно работать с такими приложениями как базы данных, электронная почта, терминальные программы и пр. При этом вся связь через общедоступные сети будет осуществляться с помощью SSL-протокола.
Рис. 2 Портальная страница со списком доступных приложений
Надежная двухфакторная аутентификация
Однофакторная аутентификация пользователя традиционным способом с помощью учетной записи (имени) и пароля является ненадежным решением. Этот метод имеет ряд серьезных недостатков:
- Перехват пароля обычно происходит незаметно. Когда хакер находит нужную комбинацию, пользователь никак не предупреждается, что его учетная запись была скомпрометирована – т.е. украдены его аутентификационные данные.
- Доступ нескольких пользователей к одной учетной записи (по одному паролю) является разновидностью указанной выше проблемы.
- Пароли, которые хакеру сложнее подобрать, очень громоздкие и сотруднику их трудно запомнить. Это приводит к увеличению административных затрат, связанных с поддержкой пользователей, забывающих свои пароли. А также, что еще хуже, к увеличению риска из-за того, что сотрудники очень часто записывают сложные пароли на бумажные носители.
- Человек обычно использует один и тот же пароль, который он уже единожды запомнил, для нескольких приложений. Это приводит к тому, что, завладев им, злоумышленник получает доступ ко всем этим приложениям.
Рис. 3 Варианты аутентификации пользователей
Комплекс iGate, наряду с традиционными способами, поддерживает тесную интеграцию и с аппаратными средствами двухфакторной аутентификации пользователей: USB-токенами iKey и Smart-картами (см. Рис.3). При этом пароль к портальной странице iGate, защищающей удаленные ресурсы, надежно хранится в закрытой памяти электронного идентификатора.
Client Policy Feature (ICPF)
Опция Client Policy, основанная на нескольких объектах политик, позволяет создавать условия, которые определяют уровень доступа пользователя во время регистрации. Например, можно провести проверку наличия у пользователя антивирусных баз и, что более важно, проверить наличие последних обновлений. С помощью Client Policy (ICPF) можно назначать условия пользователям, группам пользователей и приложениям/порталам.
Программно-аппаратный комплекс iGate версии 4.0 поддерживает следующие Объекты Политик (Policy Objects):
- IP Address: Позволяет указать диапазон IP-адресов, которым разрешен доступ в систему.
- Time of Day: Позволяет указать определенные дни недели и время, в которые разрешен доступ в систему.
- Authentication: Политика аутентификации, позволяющая определить механизм аутентификации (пара «логин-пароль» или электронный идентификатор), который будет использован при доступе в систему.
- Client Product: Позволяет проверить наличие у пользователя определенных программных продуктов, например, антивирусов, межсетевых экранов и пр. Предварительно настроенная политика проверяет не только наличие антивируса и брандмауэра, но и дату обновления антивирусных баз.
- Client State: Позволяет проверить соответствие пользовательских настроек принятой в компании конфигурации. Данная опция предоставляет средства контроля определенных значений реестра/файлов пользователя.
Трояны, Вирусы и т.д.
Если пользователи подключаются к корпоративным сетевым ресурсам из дома или Интернет-кафе, то троян или другая вредоносная программа, находящаяся внутри их компьютеров, может попасть и в корпоративную сеть. Как уже говорилось раннее, SSL VPN - шлюз осуществляет подключение на уровне приложений. Следовательно, возможна передача только тех данных, которые принимает приложение. Другие виды VPN-решений работают на сетевом уровне и позволяют передавать данные при подключении к сети.
Очистка кэша
Рассмотрим ситуацию, когда пользователь, закончив работу с SSL VPN-шлюзом, отключается от портальной страницы. Никаких файлов на своем ПК он не сохранял, работал удаленно. Тем не менее, операционная система оставляет после сеансов связи в специальных папках ряд файлов, предназначенных для ускорения работы при повторном обращении к тем же страницам. Эти файлы состоят из документов MS Office, различных рисунков, графиков, персональных данных пользователя, истории посещения сайтов и пр. Они представляют собой реальную угрозу и большой интерес для злоумышленников, потому что могут содержать конфиденциальные данные. В отличие от обычного пользователя, взломщик, каким-либо путем получив доступ к клиентскому ПК, прекрасно осведомлен, в каких папках содержатся эти данные. Для предотвращения подобных ситуаций в iGate реализована уникальная технология - Client Cache Cleaner, которая отслеживает момент завершения пользователем сеанса связи или разрыва соединения и удаляет оставшиеся на компьютере «лишние» файлы. Эта технология способствует повышению безопасности работы, благодаря двум факторам. Во-первых, удаляются только те файлы, которые были записаны на компьютер во время последнего сеанса. Во-вторых, удаление файлов происходит «надежным» методом, с зачисткой и перезаписью на стираемое место случайных данных.
Простота настройки устройства администратором
Всю информацию, необходимую для установки и запуска iGate, можно получить через Web-интерфейсы при помощи мастеров настройки (см. рис. 4).
Рис.4 Web интерфейс настройки устройства
Для запуска iGate необходимо выполнить следующие действия:
- Настроить конфигурацию устройства: сбор информации, необходимой для подключения устройства к сети.
- Провести авторизацию пользователей: создание внутренних и внешних аутентификационных групп и программирование USB-ключей iKey или smart-карт.
- Определить защищенные ресурсы: описание и настройка приложений, к которым будут иметь доступ внешние пользователи.
- Создать политики: создание правил для проверки определенных условий на компьютере клиента
- Определить права доступа для групп пользователей: назначение определенных ресурсов и созданных политик группам пользователей
Системы, развернутые на базе SSL VPN-технологии, реализованной в программно-аппаратном комплексе iGate, позволяют организациям воспользоваться дополнительными возможностями, предоставляемыми фирмой SafeNet (см. рис. 5).
Рис.5 Возможности SSL iGate
К преимуществам, которые получают организации, используя iGate SSL VPN-шлюз можно отнести:
- Быстрое развертывание работы в системе, благодаря решению на базе аппаратной платформы с управлением через web-интерфейс
- Отсутствие клиентского ПО значительно снижает расходы на администрирование
- Тесную интеграцию с аппаратными средствами аутентификации и тщательную проверку клиентских компьютеров, что снижает риски несанкционированного доступа к корпоративным ресурсам
- Прозрачность работы как внутри локальной сети, так и из любого другого места подключения без перенастройки рабочих станций не требует интеграции с существующей инфраструктурой
- Сохранение привычного стиля работы, что снижает затраты на обучение пользователей новым технологиям
При расширении возможностей работы сотрудников, клиентов и партнеров в своих локальных сетях из любой точки мира, компании, в первую очередь, должны думать о безопасности создаваемых подключений.
Такие устройства, как iGate от SafeNet, поддерживающие работу с SSL-протоколами, являются решениями, реализующими современные технологии защищенного удаленного доступа к корпоративным данным из любой точки мира. Их использование позволяет значительно увеличить уровень безопасности при удаленной работе мобильных сотрудников с корпоративными данными и предоставляет для этого более широкие возможности.
Автор: Rainbow Technologies
Источник: www.citcity.ru
|