Среда обитания и экипировка пользователя удаленного доступа

Среда обитания и экипировка пользователя удаленного доступа

Сергей Рябко, генеральный директор компании "С-Терра СиЭсПи"

Эволюция

Как-то Фолкнер, отвечая на вопрос о любимой книге, ответил: "Библия. Я читаю ее и вижу, что за пять тысяч лет люди не изменились". Проекты систем удаленного доступа наводят на ту же мысль.

Первую распределенную рабочую группу мне довелось организовывать в 1990 г. Раннее детство российского Интернета, "Релком" с электронной почтой UUCP, модем на 2,4 кбит/с... Что изменилось сегодня? Коммуникационный ресурс обогатился и повсеместно доступен. Модем на коммутируемой линии отступил в тень. Спальные районы опутали домашние сети и "широкополосный Интернет". Он же покрыл небольшие офисы и потеснил бизнес выделенных Интернет-каналов. Мобильный пользователь получил сервис данных в телефонии 2,5G и 3G. Появились WiFi-хот-споты, бизнес-центры в гостинице, Интернет-кафе и Интернет-киоски. С "изобретением Интернета Б. Гейтсом" (я его датирую примерно 1996-1997 гг., когда в Windows появились TCP/IP-стек, почтовый клиент и браузер) сеть стала глобальным экосоциаль-ным явлением.

Что осталось по-прежнему? Странно, но рост номинала полосы примерно в 1000 раз часто оставляет ощущение "тормоза". В 1990 г. на модеме 2400 бит/с файл в 50 кбайт передавался 5-10 минут. Сегодня файл MS Word с тем же текстовым содержанием будет "весить" около 500 кбайт, и удовольствие на проводе 56 кбит/с вы получите примерно то же. Справедливости ради следует сказать, что на DSL вы даже не заметите отправку такого файла. Но вот с радио все обстоит хуже.

Что же касается сервиса данных 3G, то здесь я практически всегда могу прочесть и отправить почту в коротких сообщениях. Однако не следует обольщаться. При соединении модем бодро докладывает о скорости 2,4 Мбит/с. Вранье! "Порог непередаваемости" у 3G, отдадим должное, раз в 10 выше, чем у GPRS, но эффективная скорость передачи в Москве редко превышает 100 кбит/с. Здесь, правда, есть надежда, что ситуация улучшится с развитием инфраструктуры 3G-сервисов...

Обстановочка

Среда, в которой работает удаленный пользователь, не отличается стерильностью.

"Домашние" сети, среда общения подростков и неорганизованного файлового обмена, - излюбленная мишень бот-операторов. В сетях широкополосного доступа провайдер иногда обеспечивает минимальный контроль доступа (не пускает в частное адресное пространство кого попало из Интернета), предлагает простой антивирус и контент-ный фильтр. Но поскольку политика безопасности применяется для большого сообщества пользователей, ее правила на изощренные атаки не сфокусированы. Так что и в этом случае домашний компьютер - тоже не бином Ньютона для взломщика.

Очень невнятную с точки зрения безопасности среду предлагают и бизнес-центры, причем не только в России и не только в периферийных гостиницах. Как правило, это небольшая локальная сеть на том же DSL-модеме. Постоянно занятого администратора нет. Вас обслужит девочка-менеджер, которая умеет (максимум) перезагрузить "повисшую" машину. Она разрешит вам перенастроить учетную запись электронной почты в "казенном" компьютере, а то и включиться в локальную сеть с вашим ноутбуком. Все это мило, довольно удобно, но прочесть вашу почту, подвесить к ней вредоносное приложение в этой сети проще простого. Причем сделать это может и служащий бизнес-центра, и посетитель, и хакер - ни от кого из них сеть толком не защищена...

WiFi-сети и Интернет-кафе часто исповедуют более строгий регламент защиты информации, однако из них вы зачастую просто не доберетесь до корпоративного ресурса.

Who are you, mister teleworker?

В массе удаленных и мобильных пользователей я бы выделил две радикально различные породы: "наемник" и "служащий".

Наемник - это человек индивидуальной профессии, работающий с партнерами по временной рабочей группе. Наемник мотивирован на построение системы защиты и активно ищет прагматичные, простые и эффективные меры.

Служащий, напротив, обычно действует по указке. Корпоративный регламент безопасности для него - инструкция, к которой он не относится творчески и которую зачастую не до конца понимает.

Наемник и служащий защищены по-разному. Для служащего (в России) часто требуется сертифицированный продукт защиты. Наемник сертификацией легкомысленно пренебрегает. "Доспехи" служащего ориентированы на корпоративную инфраструктуру, часть целого. "Доспехи" наемника ориентированы на самооборону: они должны обеспечить безопасность в агрессивной среде его обитания. Второе важное требование к ним - совместимость с временным партнером по рабочей группе.

О вооружении служащего мы подробно поговорим в последующих статьях, а здесь остановимся на решении для наемника.

Доспехи ландскнехта

Итак, вы - одиночка, которого нужно вооружить при выходе на большую дорогу.

Прежде всего, необходимо оградить компьютер от несанкционированного доступа. Единственным подходящим решением для этого является персональный межсетевой экран, personal firewall. (Отметим, это совсем не то же самое, что пакетный фильтр на входе в корпоративную сеть. Тут не столько важно фильтровать пакеты, сколько напрямую оперировать с сетевыми вызовами в "родной" операционной системе. На нашем рынке эти продукты чаще поставляют производители антивирусов, а не межсетевых экранов.)

Важными средствами защиты для наемника являются антивирус и анти-spyware.

Наемнику часто требуется решить и задачу конфиденциальности. Конфиденциальность обеспечивается криптографией, а рядом с криптографией идет задача управления ключами. Управление ключами "для себя" -куда бы ни шло. Однако управление ключами в переменной по составу рабочей группе бывает проблематичным. И здесь мы наблюдаем самый широкий спектр уловок - от распространенного (нестойкого!) "ZIP с паролем" до вполне зрелых систем, вроде PGP.

PGP, кстати, является уникальным средством для наемника. Эта система издавна предлагает децентрализованную модель доверия. Тогда как организация доверия между ключевыми системами в пространстве стандартов X.509 - дело непростое, в среде PGP каждый "сам себе PKI", а создание отношений доверия между "личными PKI" осуществляется естественными "человеческими" методами. PGP обеспечивает шифрование и подпись файлов, почты и содержит мощную систему шифрования файловых систем -PGP disk.

Однако наиболее изощренные ландскнехты обходятся и вовсе без "тяжелой артиллерии" управления ключами. Приведу пример из опыта по организации рабочих групп моего товарища, Александра Турского. "Система Турского" предельно проста и эффективна. Ее отличают:

• оперативность - информация часто доставляется быстрее, чем в корпоративной среде;
• защищенность - все коммуникации шифрованы;
• гибкость - состав и количество рабочих групп определяется только проектами, которые ведет наемник;
• коммуникативность - передача голоса и данных доступна практически везде, где есть ресурс связи;

Состав технических средств:

• PGP disk организует защищенное пространство в файловой системе;
• Microsoft Groove применяется как среда совместной разработки документов. В Groove при создании/модификации экземпляра документа его копия появляется одновременно у всех участников рабочей группы. Поддерживается версионность и разрешены конфликты одновременной обработки документов;
• Skype применяется для оперативных коммуникаций, обеспечивая простые сообщения (чат), переговоры (IP-телефон) и передачу файлов. Однако обмен файлами в Skype, как и электронная почта, используется в "системе Турского" мало. Средой распространения документов является Groove, передача документов вне Groove запрещена, поскольку нарушает систему версионности и просто создает путаницу.

Все данные, передаваемые в MS Groove и в Skype от отправителя до получателя, зашифрованы. Открытый трафик отсутствует. Шифрование осуществляется на динамических ключах, и полная защита коммуникаций обеспечивается вообще без управления ими. Сопровождение системы обеспечивается самими участниками процесса.

Дополним "доспехи" индивидуальными средствами резервного копирования и восстановления данных, и наш ландскнехт полностью экипирован.

Прочитав вышесказанное, профессионал непременно задаст вопрос о стойкости средств защиты. Действительно, стойкость Skype или Groove не подтверждена сертификатом. Однако, с другой стороны, криптоанализ данных наемника зачастую не стоит свеч. Не представляется высоковероятным, что нашим наемником всерьез займутся государственные спецслужбы. А для хакера или конкурента взлом описанных систем вряд ли будет по силам. Поэтому прагматичный наемник вполне резонно полагает, что используемая им защита достаточна.

Комментарий эксперта

Владимир Ульянов, руководитель аналитического центра Perimetrix

В СТАТЬЕ поднята интересная тема обеспечения безопасности в правильно названной "агрессивной" среде, причем такой средой сегодня является не только Интернет, но и любая другая сеть. Пользователю ежедневно приходится выдерживать натиск множества угроз. Кто-то стремится захватить контроль над компьютером, кто-то пытается украсть логины и пароли доступа к электронным системам, кто-то желает установить на компьютер рекламные программы. Даже тот, кому ничего, в сущности, и не надо, зачем-то шлет вредоносный код, который заражает все документы MS Word. Еще одна напасть - спам. Нежелательная корреспонденция составляет около 90% всего почтового трафика. Относительно новое явление, вызванное распространением широкополосного Интернета, - mp3-спам. Под видом популярных композиций спаме-ры рассылают рекламу, вредоносный код и просто "шутки".

Автор справедливо отмечает, что пользователю необходимо реализовать целый комплекс мер самозащиты: зашифровать содержимое локального жесткого диска, не допустить вторжения хакеров и заражения вирусами, защитить внешние коммуникации. Наконец, резервировать важные данные и уметь быстро восстановить информацию. Если одиночный пользователь выполняет все эти функции, он уже является неплохим специалистом по электронной безопасности.

Однако все это "наемник", как сказано в статье. Сам себе хозяин. А что же в корпоративной среде? Все то же самое, только гораздо хуже. Еще больше угроз, интенсивность которых гораздо выше. Особенно подвержены атакам корпоративные ресурсы финансовых организаций. Возможность относительно легко заполучить кругленькую сумму денег не покидает головы сетевых мошенников. Более того, в корпоративной среде нарушитель может оказаться и внутри компании. Это пользователь-одиночка может поручиться за себя сам. А кто поручится за того парня?

Будем с нетерпением ожидать следующих статей этого цикла, чтобы продолжить дискуссию на тему корпоративных правил и методов борьбы с информационными угрозами.