Контроль доступа для удаленных сотрудников

Алексей Андрияшин
консультант по безопасности
Check Point Software Technologies

Представьте на минуту, что вы в служебной поездке и находитесь в зале ожидания вылета крупного аэропорта. Представили? Какую вещь вы никогда не сдадите в багаж и обязательно возьмете с собой? Правильно, ноутбук. Какой самый популярный вопрос из тех, которые задают сотруднику отеля на стойке регистрации после получения ключа от номера   (не   забывайте, что вы в командировке)? Верно: "Как получить доступ в Интернет?". Современные условия диктуют нам необходимость постоянно быть на связи и в любой момент иметь возможность получить доступ к служебной информации, будь то почта, корпоративный портал или служебные документы на внутреннем файловом сервере.

Домашний офис

Нет ничего необычного в том, что сотрудники многих компаний часто работают из дома. Такое понятие, как домашний офис, уже является обычным явлением. Существуют такие формы организации труда, когда сотрудники практически не появляются в офисе. Развитие средств связи и технологий удаленного доступа позволяет работать со служебной информацией, не испытывая практически никаких ограничений по сравнению с работой непосредственно из офиса своей организации. Но при всей очевидной необходимости в удаленной работе существует большое количество рисков, подстерегающих мобильных пользователей и компании, которые они представляют. Для примера вернемся опять в аэропорт. После объявления посадки на рейс в спешке можно легко оставить в зале ожидания свой ноутбук. Такая потеря может грозить не только потерей данных, хранящихся на локальном диске, но и открыть злоумышленнику доступ к информации и вычислительным ресурсам организации. При этом стоимость потерянного ноутбука несравнима с последствиями, которые могут возникнуть. По данным исследований PonemonInstitute, стоимость потери одного ноутбука может составить приблизительно $49 000 и может существенно вырасти, если пропажа обнаружена не сразу. При этом не стоит забывать, что конфиденциальные данные могут храниться не только на ноутбуках, а также на флешках и мобильных телефонах.

Сотрудник, работающий удаленно через Интернет, в большей степени уязвим, чем локальный пользователь, и представляет потенциальную угрозу для своей организации. Поэтому безопасности удаленных пользователей необходимо уделять особое внимание.

Основные принципы информационной безопасности

При организации удаленного доступа должны соблюдаться три основных принципа информационной безопасности: конфиденциальность, целостность и доступность. Это означает, что важная информация должна быть доступна только ограниченному кругу лиц; изменения информации, приводящие к ее потере или искажению, должны быть запрещены; информация должна быть доступна авторизованным пользователям, когда она им необходима.

Для соблюдения этих принципов используют комплекс мер для идентификации, аутентификации, авторизации, шифрования данных и контроля доступа.

Технологии построения системы удаленного доступа

Ключевым звеном при построении системы удаленного доступа являются технологии VPN. При построении защищенных каналов чаще всего используют IPsecVPN и SSL (TLS) VPN. У этих подходов имеются существенные различия, что часто вызывает споры, какая же из технологий предпочтительнее. Предлагаю кратко рассмотреть, чем отличаются эти две технологии.

Протоколы IPsec работают на сетевом уровне, в то время как SSL и TLS работают на транспортном уровне. Все же помнят построение сетевой модели OSI? В свою очередь, IPsec-протоколы делятся на два класса: протокол обмена ключами (IKE) и протоколы защиты передаваемых данных (ESP и AH). При работе через межсетевой экран важно правильно настроить правила фильтрации, чтобы пропускать пакеты протоколов AH и ESP. Для AH ID протокола – 51, а ESP имеет ID протокола 50 (очень часто путают понятия "ID протокола" и "номер порта"). Также важно не забыть настроить правило, которое обеспечит работу протокола IKE. Для этого необходимо открыть порт UDP 500.

Для работы протокола SSL VPN требуется гораздо меньше действий при настройке правил на межсетевом экране, так как SSL работает на транспортном уровне, и чаще всего используется порт TCP 443 (протокол HTTPS).Очень часто этот порт открыт по умолчанию, и благодаря этому SSL VPN используют в тех случаях, когда нет возможности самостоятельно настраивать правила на межсетевом экране. Такая ситуация типична для арендованных помещений, например в крупном торговом или бизнес-центре. Еще одна особенность технологии SSL VPN, которую иногда можно считать преимуществом, – отсутствие необходимости в предустановленном VPN-клиенте на рабочем месте. Благодаря тому что практически все интернет-браузеры поддерживают HTTPS, эта технология получила большое распространение. При организации удаленного доступа используются SSL VPN-шлюз, посредством которого пользователь получает доступ к необходимым ресурсам.

Особенности развития VPN-технологий в России

Если говорить о нашей стране, то прослеживается следующая тенденция. IPsec VPN применяется в тех случаях, когда необходимо использовать предустановленный VPN-клиент (в этом случае пользователь привязан к своему ноутбуку, но располагает полным набором нужных ему инструментов). Этот подход требует дополнительных мер безопасности: полное шифрование дисков, использование антивируса, контроль периферийных портов, средства идентификации пользователя и другие меры. Можно добиться существенной экономии, если все эти механизмы будут реализованы в одном программном клиенте.

Существует подход к организации подключения удаленных пользователей, при котором пользователю выдается недорогой аппаратный VPN-шлюз. Такой метод лишен мобильности, но оправдан при организации постоянных домашних рабочих мест (homeoffice). Но без контролируемого антивируса здесь тоже, как вы понимаете, не обойтись.

Технологию SSL VPN выбирают в тех случаях, когда отсутствует возможность контролировать каждое удаленное рабочее место. Тем, кто идет по пути SSL VPN, необходимо тщательно выбирать производителя решения. Так как рабочим местом в этом случае может быть абсолютно любой компьютер (КПК, смартфон), необходимо оценивать решение с точки зрения его безопасности для компании. Эффективным решением является возможность создания защищенного (зашифрованного) рабочего пространства при подключении к SSL VPN-шлюзу на клиентской машине. В этом пространстве должно гарантироваться отсутствие любого злонамеренного или неодобренного программного обеспечения (вирусов, троянов, кейлогеров и т.п.). Такая мера исключает необходимость установки антивирусного ПО на рабочее место, но в качестве дополнительной меры безопасности перед запуском защищенного рабочего пространства можно проверить наличие антивируса и актуальность антивирусной базы. При организации защищенного рабочего пространства производители таких решений используют метод песочницы (sandbox), при котором отсутствует возможность взаимодействия прикладного ПО напрямую с ядром операционной системы.

Аутентификация данных

Контроль доступа удаленных сотрудников является важнейшей составляющей системы удаленного доступа. При подключении пользователь должен пройти следующие этапы проверки: идентификация, аутентификация, авторизация. А после предоставления доступа к информационным ресурсам действия пользователя должны еще и контролироваться.

Аутентификация подразумевает верификацию информации, полученной на этапе идентификации путем ввода PIN, биометрических данных, пароля или OTP (one-time password). При аутентификации могут использоваться цифровые сертификаты, выпущенные внутренним удостоверяющим центром либо при использовании внешней PKI-инфраструктуры, а также некоторые средства аутентификации.

На этапе авторизации пользователю предоставляется доступ к тем ресурсам, на использование которых у него есть право. При этом используется информация, полученная на предыдущих шагах контроля доступа. Например, если пользователь применил механизм двухфакторной аутентификации, то он имеет право на доступ к конфиденциальной информации, если обычный пароль – доступ к справочной информации. Дифференцирование уровня доступа в зависимости от надежности аутентификации является очень важным свойством систем удаленного доступа.

После авторизации пользователя и предоставления ему доступа к информационным ресурсам необходимо контролировать его действия в системе (аудит логов, мониторинг активности).

Очень часто встречается такая ситуация, когда бывшие сотрудники компании на протяжении некоторого (иногда очень продолжительного) времени имеют удаленный доступ к ресурсам. А некоторые даже не подозревают о такой возможности, хотя она существует. Не напоминает случай в аэропорту и связанные с этим последствия?.. Такая серьезная проблема может возникнуть в том случае, когда отсутствует централизованная система управления информационной безопасностью. Косвенно об этом могут говорить следующие факты:

• пользователи хранят в памяти 5–6 паролей для доступа к разным ресурсам;
• на подключение учетной записи нового сотрудника и на отключение учетных записей уволенного сотрудника уходит больше одного дня;
• доступ к конфиденциальной информации не ограничен;
• действия сотрудников, имеющих доступ к секретной информации, не контролируются.

Если хотя бы одно из этих условий выполняется, у компании существуют серьезные проблемы с информационной безопасностью в целом.

Таким образом, предоставлять удаленный доступ сотрудникам можно только в том случае, когда внедрена централизованная система управления безопасностью, существует матрица доступа пользователей к ресурсам, назначены ответственные за распространение той или иной информации. В общем, решены базовые задачи информационной безопасности. В этом случае задача удаленного доступа будет являться лишь частным вопросом, не требующим перестроения всей информационной системы компании.