Защита удаленного доступа

30.11.2010
Андрей Тархов, руководитель отдела внедрения и техподдержки Rainbow Security


В первую очередь необхо­димо обеспечить доступ к документам, почте и уда­ленному рабочему столу через VPN-соединение, т. е. организовать работу по защищенному зашифрованному каналу связи. VPN­-соединение устанавливается через специализированные программные или аппаратные решения, т. н. VPN-­шлюзы. Программное решение — это программа, которая устанавливается на сервер, должным образом сопрово­ждается и поддерживается.
Аппаратное решение (appliance), ко­торое монтируется в стойку, содержит предустановленное и сконфигурирован­ное программное обеспечение. Размеры аппаратных решений по высоте состав­ляют 1–2 U. Их модификаций масса, но главная особенность в том, что вы получаете готовое преднастроенное, предустановленное оборудование, и все, что с ним нужно сделать, — это провести интеграцию в существующую среду.
На мой взгляд, у аппаратных реше­ний есть несколько значительных пре­имуществ над программными, и здесь в первую очередь стоит говорить о гаран­тийном обслуживании. Гарантия и техни­ческая поддержка носят комплексный ха­рактер и выполняются одной компанией, то же самое происходит и с обновлением систем. При этом системный администра­тор получает «готовое обновление», и ему не надо задумываться о том, будет ли обновленное программное обеспечение совместимо с текущей версией операци­онной системы и не возникнут ли между ними конфликты. Как правило, произ­водители аппаратных решений постав­ляют платформу, которая оптимальным образом подходит для решения постав­ленных задач. Соответственно, заказчик, покупая аппаратное решение, не будет задумываться над тем, что произойдет в случае использования программного решения, какую серверную платформу, какое «железо» необходимо выбрать.

Варианты удаленного доступа

Обычно удаленный пользователь по­лучает доступ к корпоративным инфор­мационным ресурсам с корпоративного ноутбука, когда находится в команди­ровке, или со своего домашнего ком­пьютера. Механизм таков, что в режиме работы VPN-соединения фактически про­исходит объединение двух сетей: поль­зовательской и корпоративной. В рамках формирования этого VPN-соединения можно построить определенное ограни­чение на предоставление доступа к тем или иным ресурсам. При этом не всегда есть уверенность, что рабочее место пользователя защищено, есть ли там антивирусы, локальный файрвол и т. д. На мой взгляд, целесообразно работать не просто в режиме VPN-соединения, то есть по защищенному каналу, но и кон­тролировать информационные потоки, попадающие в «офис», на предмет чи­стоты. Таким образом, устройство, кото­рое по своей сути является VPN-шлюзом, выполняет комплексные функции: межсе­тевое экранирование, антивирус и пр.
На выходе мы получаем комплекс­ное аппаратное решение, которое может осуществить и защищенный удаленный доступ на базе VPN, и вы­полнить функции шлюзового антиви­руса для фильтрации как входящего интернет-трафика, так и всей инфор­мации, которая циркулирует между внутренней сетью и удаленными ком­пьютерами пользователей. Соответ­ственно, речь идет о консолидации всевозможных функций в одно уни­версальное устройство, которое будет предоставлять заказчику практически все существующие на сегодняшний день сервисы безопасности.
Следующий случай, касающийся за­щищенного удаленного доступа, — это объединение по защищенному каналу двух и более офисов. Многие компании сегодня имеют разветвленную инфра­структуру, и практически всегда прак­тикуется централизованный подход использования ресурсов, например, по­чтовый сервер расположен в централь­ном офисе, и пользователи, находящи­еся в региональных, дочерних офисах с меньшим количеством сотрудников, работают фактически в удаленном режиме. Те же задачи, которые были упомянуты ранее, возникают и в слу­чае защиты канала типа «офис-офис». В этом случае мы говорим о построении VPN-соединений не между VPN-шлюзом и компьютером пользователя, а между двумя VPN-шлюзами. Используются раз­ные термины для обозначения соедине­ний таких типов, самое распространен­ное из них — Branch Office VPN.


Особенно важно организовать про­цесс подтверждения личности поль­зователя в процессе установления VPN-соединения. Так или иначе, рас­сматривая любую задачу из раздела информационной безопасности, мы всегда будем сталкиваться с вопро­сами, связанными с аутентификацией личности. В данном случае рассмотрим вопрос аутентификации удаленного пользователя.

Управление удалённым доступом: аутентификация

Существует несколько разных тех­нологий. Наиболее распространенная на сегодняшний день — аутентификация по статическим паролям. В этом случае VPN-шлюз использует собственную базу пользователей. Второй возможный вариант — переадресация с запроса аутентификации в корпоративную служ­бу каталогов, например, Active Directory, как частный случай LDAP-каталога. В этом случае пользователь вводит те логин и пароль, которые использует каждый день за рабочим компьютером. Такой подход более применим в ситуа­циях обслуживания большого количе­ства пользователей, так как исключает необходимость дублирования учетных записей.

К сожалению, есть масса недостатков и масса уязвимостей, связанных с при­менением статических данных. Можно с уверенностью сказать, что их исполь­зование при аутентификации с домаш­него компьютера пользователя сопрово­ждается довольно большими рисками, так как они подвержены атакам метода записи и воспроизведения.
Оптимальный вариант решения этой задачи — аутентификация пользовате­ля на корпоративных VPN-шлюзах или других ресурсах по динамическим дан­ным, например, одноразовым паролям. Генераторы одноразовых паролей могут быть реализованы в виде устройства или в виде плагина на мобильный теле­фон. Прохождение аутентификации с ис­пользованием одноразовых паролей не требует подключения устройства к ком­пьютеру, а значит, значительно упроща­ет сам процесс управления удалённым доступом и его сопровождение со стороны службы поддержки.


Отдельно стоит упомянуть комби­нированные технологии. Наиболее ин­тересная реализация — ActivIdentity DisplaySmartCard. Чем она примеча­тельна? По своей сути это комбинация двух устройств. Первое — чипованная смарт-карта, на которой хранится циф­ровой сертификат пользователя. Эта часть является контактной и может ис­пользоваться для PKI-аутентификации, ЭЦП и прочих PKI-задач. Вторая часть, которая является бесконтактной, — это генератор одноразовых паролей. Она более проста в эксплуатации, не требует подключения к компьютеру и использу­ется при получении удаленного доступа, когда пользователь работает, например, со своего компьютера. При этом уста­новки дополнительного программного
обеспечения не требуется. В рамках одного устройства мы можем выполнять не только разные типы аутентификации, но и дополнительные задачи.
Если мы заговорили об аутентифика­ции по одноразовым паролям в контек­сте получения уделенного доступа, то нужно рассмотреть и серверную компо­ненту. Вопрос заключается в интеграции VPN-шлюза и сервера аутентификации. Наиболее очевидный вариант — это ис­пользование стандартных протоколов аутентификации, например, RADIUS.

Далее все зависит от того, какой функционал предлагается сервером аутентификации. Это могут быть одно­разовые пароли, аппаратные или про­граммные плагины для мобильных теле­фонов, СМС, отсылаемые на мобильный телефон пользователя, всевозможные дополнительные статические методы. Идея заключается в том, что для аутен­тификации удаленного пользователя лучше использовать одноразовые паро­ли, потому что эта технология, с одной стороны, крайне проста в эксплуатации, с другой — очень надежна. Два этих компонента, отвечающих за защиту ка­нала связи, то есть VPN-шлюз и сервер аутентификации, который предоставляет соответствующие сервисы аутентифика­ции, должны интегрироваться.
При рассмотрении вопроса аутен­тификации может зайти речь об ис­пользовании цифровых сертификатов. Но практика показывает, что, если мы рассматриваем получение доступа пользователями к корпоративным ре­сурсам не только с корпоративных но­утбуков, но и с домашних компьютеров (а это практикуется довольно часто), то аутентификация на базе сертификатов, как правило, не рассматривается, пото­му что этот метод контактный и требует установки и настройки соответствующе­го ПО.

Таким образом, одноразовые па­роли — самый оптимальный вариант при соблюдении довольно высокого уровня безопасности.
Организация процесса защиты уда­ленного доступа — комплексный про­цесс. Если система построена с учетом всех требований, то использование тех­нологий удаленного доступа для мак­симально эффективной деятельности будет безболезненным.