30.11.2010
Андрей Тархов, руководитель отдела внедрения и техподдержки Rainbow Security
В первую очередь необходимо обеспечить доступ к документам, почте и удаленному рабочему столу через VPN-соединение, т. е. организовать работу по защищенному зашифрованному каналу связи. VPN-соединение устанавливается через специализированные программные или аппаратные решения, т. н. VPN-шлюзы. Программное решение — это программа, которая устанавливается на сервер, должным образом сопровождается и поддерживается.
Аппаратное решение (appliance), которое монтируется в стойку, содержит предустановленное и сконфигурированное программное обеспечение. Размеры аппаратных решений по высоте составляют 1–2 U. Их модификаций масса, но главная особенность в том, что вы получаете готовое преднастроенное, предустановленное оборудование, и все, что с ним нужно сделать, — это провести интеграцию в существующую среду.
На мой взгляд, у аппаратных решений есть несколько значительных преимуществ над программными, и здесь в первую очередь стоит говорить о гарантийном обслуживании. Гарантия и техническая поддержка носят комплексный характер и выполняются одной компанией, то же самое происходит и с обновлением систем. При этом системный администратор получает «готовое обновление», и ему не надо задумываться о том, будет ли обновленное программное обеспечение совместимо с текущей версией операционной системы и не возникнут ли между ними конфликты. Как правило, производители аппаратных решений поставляют платформу, которая оптимальным образом подходит для решения поставленных задач. Соответственно, заказчик, покупая аппаратное решение, не будет задумываться над тем, что произойдет в случае использования программного решения, какую серверную платформу, какое «железо» необходимо выбрать.
Варианты удаленного доступа
Обычно удаленный пользователь получает доступ к корпоративным информационным ресурсам с корпоративного ноутбука, когда находится в командировке, или со своего домашнего компьютера. Механизм таков, что в режиме работы VPN-соединения фактически происходит объединение двух сетей: пользовательской и корпоративной. В рамках формирования этого VPN-соединения можно построить определенное ограничение на предоставление доступа к тем или иным ресурсам. При этом не всегда есть уверенность, что рабочее место пользователя защищено, есть ли там антивирусы, локальный файрвол и т. д. На мой взгляд, целесообразно работать не просто в режиме VPN-соединения, то есть по защищенному каналу, но и контролировать информационные потоки, попадающие в «офис», на предмет чистоты. Таким образом, устройство, которое по своей сути является VPN-шлюзом, выполняет комплексные функции: межсетевое экранирование, антивирус и пр.
На выходе мы получаем комплексное аппаратное решение, которое может осуществить и защищенный удаленный доступ на базе VPN, и выполнить функции шлюзового антивируса для фильтрации как входящего интернет-трафика, так и всей информации, которая циркулирует между внутренней сетью и удаленными компьютерами пользователей. Соответственно, речь идет о консолидации всевозможных функций в одно универсальное устройство, которое будет предоставлять заказчику практически все существующие на сегодняшний день сервисы безопасности.
Следующий случай, касающийся защищенного удаленного доступа, — это объединение по защищенному каналу двух и более офисов. Многие компании сегодня имеют разветвленную инфраструктуру, и практически всегда практикуется централизованный подход использования ресурсов, например, почтовый сервер расположен в центральном офисе, и пользователи, находящиеся в региональных, дочерних офисах с меньшим количеством сотрудников, работают фактически в удаленном режиме. Те же задачи, которые были упомянуты ранее, возникают и в случае защиты канала типа «офис-офис». В этом случае мы говорим о построении VPN-соединений не между VPN-шлюзом и компьютером пользователя, а между двумя VPN-шлюзами. Используются разные термины для обозначения соединений таких типов, самое распространенное из них — Branch Office VPN.
Особенно важно организовать процесс подтверждения личности пользователя в процессе установления VPN-соединения. Так или иначе, рассматривая любую задачу из раздела информационной безопасности, мы всегда будем сталкиваться с вопросами, связанными с аутентификацией личности. В данном случае рассмотрим вопрос аутентификации удаленного пользователя.
Управление удалённым доступом: аутентификация
Существует несколько разных технологий. Наиболее распространенная на сегодняшний день — аутентификация по статическим паролям. В этом случае VPN-шлюз использует собственную базу пользователей. Второй возможный вариант — переадресация с запроса аутентификации в корпоративную службу каталогов, например, Active Directory, как частный случай LDAP-каталога. В этом случае пользователь вводит те логин и пароль, которые использует каждый день за рабочим компьютером. Такой подход более применим в ситуациях обслуживания большого количества пользователей, так как исключает необходимость дублирования учетных записей.
К сожалению, есть масса недостатков и масса уязвимостей, связанных с применением статических данных. Можно с уверенностью сказать, что их использование при аутентификации с домашнего компьютера пользователя сопровождается довольно большими рисками, так как они подвержены атакам метода записи и воспроизведения.
Оптимальный вариант решения этой задачи — аутентификация пользователя на корпоративных VPN-шлюзах или других ресурсах по динамическим данным, например, одноразовым паролям. Генераторы одноразовых паролей могут быть реализованы в виде устройства или в виде плагина на мобильный телефон. Прохождение аутентификации с использованием одноразовых паролей не требует подключения устройства к компьютеру, а значит, значительно упрощает сам процесс управления удалённым доступом и его сопровождение со стороны службы поддержки.
Отдельно стоит упомянуть комбинированные технологии. Наиболее интересная реализация — ActivIdentity DisplaySmartCard. Чем она примечательна? По своей сути это комбинация двух устройств. Первое — чипованная смарт-карта, на которой хранится цифровой сертификат пользователя. Эта часть является контактной и может использоваться для PKI-аутентификации, ЭЦП и прочих PKI-задач. Вторая часть, которая является бесконтактной, — это генератор одноразовых паролей. Она более проста в эксплуатации, не требует подключения к компьютеру и используется при получении удаленного доступа, когда пользователь работает, например, со своего компьютера. При этом установки дополнительного программного
обеспечения не требуется. В рамках одного устройства мы можем выполнять не только разные типы аутентификации, но и дополнительные задачи.
Если мы заговорили об аутентификации по одноразовым паролям в контексте получения уделенного доступа, то нужно рассмотреть и серверную компоненту. Вопрос заключается в интеграции VPN-шлюза и сервера аутентификации. Наиболее очевидный вариант — это использование стандартных протоколов аутентификации, например, RADIUS.
Далее все зависит от того, какой функционал предлагается сервером аутентификации. Это могут быть одноразовые пароли, аппаратные или программные плагины для мобильных телефонов, СМС, отсылаемые на мобильный телефон пользователя, всевозможные дополнительные статические методы. Идея заключается в том, что для аутентификации удаленного пользователя лучше использовать одноразовые пароли, потому что эта технология, с одной стороны, крайне проста в эксплуатации, с другой — очень надежна. Два этих компонента, отвечающих за защиту канала связи, то есть VPN-шлюз и сервер аутентификации, который предоставляет соответствующие сервисы аутентификации, должны интегрироваться.
При рассмотрении вопроса аутентификации может зайти речь об использовании цифровых сертификатов. Но практика показывает, что, если мы рассматриваем получение доступа пользователями к корпоративным ресурсам не только с корпоративных ноутбуков, но и с домашних компьютеров (а это практикуется довольно часто), то аутентификация на базе сертификатов, как правило, не рассматривается, потому что этот метод контактный и требует установки и настройки соответствующего ПО.
Таким образом, одноразовые пароли — самый оптимальный вариант при соблюдении довольно высокого уровня безопасности.
Организация процесса защиты удаленного доступа — комплексный процесс. Если система построена с учетом всех требований, то использование технологий удаленного доступа для максимально эффективной деятельности будет безболезненным.