Удаленный доступ, корпоративные решения. Часть 2

Удаленный доступ, корпоративные решения

Часть 2

Сергей Рябко, генеральный директор компании "С-Терра СиЭсПи"

Эскиз защищенной системы

Структурно-функциональная схема системы (возможно, с некоторой избыточностью) показана на рисунке. Общая логика построения системы выглядит следующим образом:

1. Терминал пользователя снабжается средствами контроля конфигурации. В идеале пользователь не должен иметь возможности изменить ни состав, ни политику безопасности механизмов защиты.

2. Трафик пользователя "упакован" в VPN-туннель. Открытый трафик из/в удаленный терминал отсутствует. Доступ в Интернет напрямую с терминала запрещен. При необходимости он может производиться через корпоративную сеть с той же политикой безопасности и при использовании тех же средств защиты, что и для доступа в Интернет для пользователей ЛВС корпоративной сети. Отметим, что в этом случае у предприятия появляется единственная точка доступа в Интернет, в защищенность которой можно инвестировать значительные средства.

3. Средства защиты информации работают в единой инфраструктуре аутентификации, управления, мониторинга и аудита.

Структурные компоненты системы могут различаться или применяться в несколько иной комбинации, чем это показано на рисунке.

Оборудование пользовательского терминала:

1. Устройство для генерации одноразовых паролей (необязательно). Эти системы удобны (пользователю не нужно помнить пароль), безопасны (пароли не используются более одного раза и часто меняются), универсальны (могут использоваться для множества приложений и интегрироваться в вертикальную инфраструктуру аутентификации (27) и широко распространены. Однако в случае применения систем с одноразовым паролем в задачах удаленного доступа следует иметь в виду следующие обстоятельства.

Во-первых, системы с одноразовым паролем обеспечивают одностороннюю аутентификацию (клиент аутентифициро-ван перед сервером, однако сервер не аутентифицирован перед клиентом). Это делает их уязвимыми по отношению к атакам подмены сервера (phishing) и посредника (man-in-the-middle), поэтому обмен одноразовыми паролями должен быть надежно защищен.

Во-вторых, система защиты каналов, по которым производится передача паролей, должна сама по себе обеспечивать двустороннюю аутентификацию.

2. Аппаратный токен с цифровым сертификатом (необязательно). Весьма удобен и существенно повышает защищенность системы в комплексе. В отличие от системы с однократными паролями обеспечивает двухфакторную аутентификацию (PIN + содержимое токена), представляет собой невзламываемый контейнер
для секретного ключа и часто - аппаратный шифратор. Хорошо интегрируется в инфраструктуры открытых ключей, системы управления учетными записями, может обеспечивать однократный доступ в систему.

В задачах удаленного доступа очень важно, что токен - "съемный" элемент безопасности. Раздельное хранение токена и мобильного терминала является дополнительным фактором безопасности. Это обеспечивает, помимо прочего, защиту от хищения терминала - терминал можно сделать закрытым и нефункциональным без токена.

Программное обеспечение терминала мобильного пользователя:

3. Система шифрования жесткого диска ноутбука. Гораздо удобнее и безопаснее, если она "открывается" токе-ном.

4. Клиент антивирусной защиты.

5. VPN-клиент.

6. Персональный межсетевой экран. Необязателен, если применяется изолирующая политика безопасности VPN.

7. Примерно до 2002 г. достаточным основанием для доступа пользователя в сеть считались его аутентификация и авторизация. Однако со временем инденерное сообщество обеспокоилось тем, что авторизованный пользователь может принести с собой в сеть изрядное количество "грязи". На рынке появился ряд решений, которые с той или иной степенью полноты и/или удобства позволяли бы контролировать состав и конфигурацию программного обеспечения мобильного терминала. Компания Cisco Systems сделала попытку стандартизовать контроль конфигураций удаленных пользователей при их доступе в сеть, разработав
архитектуру Network Admission Control (NAC).

8. Программное обеспечение для контроля ввода/вывода на периферийное оборудование и съемные носители информации. В этой области не существует стандартных решений, однако есть вполне зрелые продукты, позволяющие централизованно контролировать работу пользователя со съемными носителями информации.

При доступе пользователей к корпоративному ресурсу целесообразно применять целый каскад средств сетевой защиты:

9. VPN-туннель.

10. Система анализа аномальных активностей (IDS, IPS) поможет обнаружить "пробы" атак под прикрытием VPN-протоколов.

11. На входе в сеть разумно использовать систему распознания и блокировки атак отказа в доступе (DoS/DDoS).

12. Входящий трафик подлежит пакетной фильтрации. Политика: пропускать только VPN-протоколы и только на вход VPN-шлюза.

13. VPN-шлюз.

14. К расшифрованному трафику следует повторно применить систему анализа аномальных активностей IDS/IPS. Это поможет "увидеть" нелояльное поведение пользователя или детектировать наличие в его терминале вредоносного программного обеспечения.

15. При доступе в сеть должна проверяться программно-аппаратная конфигурация мобильного терминала (наличие и работоспособность СЗИ, актуальность антивирусных баз данных, целостность ПО и т.п.). В случае если программно-аппаратная конфигурация не соответствует требованиям политики безопасности банка, терминал должен перенаправляться в карантинную зону для технического обслуживания. Эту работу выполняет отдельно стоящий или интегрированный шлюз контроля конфигураций. Проверка конфигурации может применяться только после снятия VPN-защиты.

16. Фильтр вредоносного мобильного кода, антивирус, анти-adware, spyware.

17. Сетевой контроль доступа внутри ЛВС (может выполняться с помощью межсетевых экранов, коммутаторов, VLAN и т.п.). Рекомендуется конфигурировать адреса удаленных пользователей так, чтобы они группировались в соответствии с правами доступа.

18. Система аутентификации для доступа к приложениям (может быть интегрирована с приложениями).

В число приложений удаленного доступа могут входить:

19. Система штатного доступа в Интернет. В ряде случаев удаленному пользователю, очевидно, необходимо разрешать доступ в Интернет. При этом у организации есть выбор: разрешить доступ в Интернет непосредственно с терминала удаленного пользователя или "пропустить" его через корпоративную сеть. Первый способ представляется чрезвычайно опасным: пользователи в массе своей недостаточно квалифицированы, а снабдить их терминалы надежной защитой представляется проблематичным. Второй способ доступа можно организовать следующим образом. Пользователь подключается к корпоративной сети по VPN-туннелю, исключающему открытый трафик. Далее, получив внутренние IP-адреса корпоративной сети и права доступа внутреннего пользователя, "на общих основаниях" выходит в Интернет по той же технологии, что и пользователи локальных сетей корпоративного офиса. Недостатком этого способа является двойной проход трафика через Интернет (как VPN-туннель до корпоративной сети и далее - открытый доступ к Интернет-ресурсу из локальной сети). Однако при нынешних ценах на Интернет-трафик такой способ доступа не представляется существенным увеличением корпоративного бюджета. Кроме того, взамен мы приобретаем три весьма существенных преимущества:

• Безопасность: вероятность компрометации пользовательского терминала при взаимодействии с Интернетом не выше, чем вероятность компрометации из Интернета рабочего места в локальной сети.
• Экономичность: вместо того чтобы инвестировать в средства защиты пользовательских терминалов (причем не самой стойкой защиты), мы бросаем все силы на защиту единственного или нескольких резервирующих друг друга узлов доступа в Интернет из корпоративной ЛВС. Здесь при прочих равных условиях мы можем добиться существенно более высокого уровня защиты.
• Упрощение эксплуатации системы: политика доступа в Интернет управляется в одном или в нескольких резервирующих друг друга узлах защиты.

20. Сервер электронной почты.

21. Корпоративный портал.

22. Файловые серверы и/или прочие файловые ресурсы. Для доступа рекомендуется применять простые и контролируемые методы - FTP, HTTP. Применение разделяемых файловых ресурсов не рекомендуется.

23. Прочие корпоративные приложения.

Система может работать в единой централизованной инфраструктуре аутентификации, управления, мониторинга и аудита:

24. Система управления коммуникациями и средствами сетевой безопасности.

25. Система управления конфигурациями терминалов.

26. Система управления средствами фильтрации вредоносного кода.

27. Система аутентификации с централизованным ядром управления.

28. Система управления учетными записями и правами доступа пользователей.

29. Инфраструктура открытых ключей.

30. Система мониторинга информационной безопасности.

31. Система событийного протоколирования и аудита.

Построение такого комплекса доступа позволяет обеспечить достаточно высокую безопасность корпоративной сети. При этом при всей кажущейся "тяжести" системы отметим, что дополнительную финансовую нагрузку представляют собой только средства защиты пользовательских терминалов 1-8 (они относительно недороги) и каскад доступа удаленных пользователей 9-16 и 25. Прочие элементы инфраструктуры так или иначе присутствуют во всякой "уважающей себя" сети как средства защиты, построенные в интересах внутренних пользователей ЛВС.