В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Часть 2
Сергей Рябко, генеральный директор компании "С-Терра СиЭсПи"
Эскиз защищенной системы
Структурно-функциональная схема системы (возможно, с некоторой избыточностью) показана на рисунке. Общая логика построения системы выглядит следующим образом:
1. Терминал пользователя снабжается средствами контроля конфигурации. В идеале пользователь не должен иметь возможности изменить ни состав, ни политику безопасности механизмов защиты.
2. Трафик пользователя "упакован" в VPN-туннель. Открытый трафик из/в удаленный терминал отсутствует. Доступ в Интернет напрямую с терминала запрещен. При необходимости он может производиться через корпоративную сеть с той же политикой безопасности и при использовании тех же средств защиты, что и для доступа в Интернет для пользователей ЛВС корпоративной сети. Отметим, что в этом случае у предприятия появляется единственная точка доступа в Интернет, в защищенность которой можно инвестировать значительные средства.
3. Средства защиты информации работают в единой инфраструктуре аутентификации, управления, мониторинга и аудита.
Структурные компоненты системы могут различаться или применяться в несколько иной комбинации, чем это показано на рисунке.
Оборудование пользовательского терминала:
1. Устройство для генерации одноразовых паролей (необязательно). Эти системы удобны (пользователю не нужно помнить пароль), безопасны (пароли не используются более одного раза и часто меняются), универсальны (могут использоваться для множества приложений и интегрироваться в вертикальную инфраструктуру аутентификации (27) и широко распространены. Однако в случае применения систем с одноразовым паролем в задачах удаленного доступа следует иметь в виду следующие обстоятельства.
Во-первых, системы с одноразовым паролем обеспечивают одностороннюю аутентификацию (клиент аутентифициро-ван перед сервером, однако сервер не аутентифицирован перед клиентом). Это делает их уязвимыми по отношению к атакам подмены сервера (phishing) и посредника (man-in-the-middle), поэтому обмен одноразовыми паролями должен быть надежно защищен.
Во-вторых, система защиты каналов, по которым производится передача паролей, должна сама по себе обеспечивать двустороннюю аутентификацию.
2. Аппаратный токен с цифровым сертификатом (необязательно). Весьма удобен и существенно повышает защищенность системы в комплексе. В отличие от системы с однократными паролями обеспечивает двухфакторную аутентификацию (PIN + содержимое
токена), представляет собой
невзламываемый контейнер
для секретного ключа и часто -
аппаратный шифратор. Хорошо интегрируется в инфраструктуры открытых ключей,
системы управления учетными
записями, может обеспечивать
однократный доступ в систему.
В задачах удаленного доступа очень важно, что токен - "съемный" элемент безопасности. Раздельное хранение токена и мобильного терминала является дополнительным фактором безопасности. Это обеспечивает, помимо прочего, защиту от хищения терминала - терминал можно сделать закрытым и нефункциональным без токена.
Программное обеспечение терминала мобильного пользователя:
3. Система шифрования жесткого диска ноутбука. Гораздо удобнее и безопаснее, если она "открывается" токе-ном.
4. Клиент антивирусной защиты.
5. VPN-клиент.
6. Персональный межсетевой экран. Необязателен, если применяется изолирующая политика безопасности VPN.
7. Примерно до 2002 г. достаточным основанием для
доступа пользователя в сеть
считались его аутентификация и авторизация. Однако
со временем инденерное сообщество обеспокоилось
тем, что авторизованный
пользователь может принести с собой в сеть изрядное
количество "грязи". На рынке
появился ряд решений, которые с той или иной степенью
полноты и/или удобства позволяли бы контролировать
состав и конфигурацию программного обеспечения мобильного терминала. Компания Cisco Systems сделала
попытку стандартизовать
контроль конфигураций удаленных пользователей при их
доступе в сеть, разработав
архитектуру Network Admission Control (NAC).
8. Программное обеспечение для контроля ввода/вывода на периферийное оборудование и съемные носители информации. В этой области не существует стандартных решений, однако есть вполне зрелые продукты, позволяющие централизованно контролировать работу пользователя со съемными носителями информации.
При доступе пользователей к корпоративному ресурсу целесообразно применять целый каскад средств сетевой защиты:
9. VPN-туннель.
10. Система анализа аномальных активностей (IDS, IPS) поможет обнаружить "пробы" атак под прикрытием VPN-протоколов.
11. На входе в сеть разумно использовать систему распознания и блокировки атак отказа в доступе (DoS/DDoS).
12. Входящий трафик подлежит пакетной фильтрации. Политика: пропускать только VPN-протоколы и только на вход VPN-шлюза.
13. VPN-шлюз.
14. К расшифрованному трафику следует повторно применить систему анализа аномальных активностей IDS/IPS. Это поможет "увидеть" нелояльное поведение пользователя или детектировать наличие в его терминале вредоносного программного обеспечения.
15. При доступе в сеть должна проверяться программно-аппаратная конфигурация мобильного терминала (наличие и работоспособность СЗИ, актуальность антивирусных баз данных, целостность ПО и т.п.). В случае если программно-аппаратная конфигурация не соответствует требованиям политики безопасности банка, терминал должен перенаправляться в карантинную зону для технического обслуживания. Эту работу выполняет отдельно стоящий или интегрированный шлюз контроля конфигураций. Проверка конфигурации может применяться только после снятия VPN-защиты.
16. Фильтр вредоносного мобильного кода, антивирус, анти-adware, spyware.
17. Сетевой контроль доступа внутри ЛВС (может выполняться с помощью межсетевых экранов, коммутаторов, VLAN и т.п.). Рекомендуется конфигурировать адреса удаленных пользователей так, чтобы они группировались в соответствии с правами доступа.
18. Система аутентификации для доступа к приложениям (может быть интегрирована с приложениями).
В число приложений удаленного доступа могут входить:
19. Система штатного доступа в Интернет. В ряде случаев удаленному пользователю, очевидно, необходимо разрешать доступ в Интернет. При этом у организации есть выбор: разрешить доступ в Интернет непосредственно с терминала удаленного пользователя или "пропустить" его через корпоративную сеть. Первый способ представляется чрезвычайно опасным: пользователи в массе своей недостаточно квалифицированы, а снабдить их терминалы надежной защитой представляется проблематичным. Второй способ доступа можно организовать следующим образом. Пользователь подключается к корпоративной сети по VPN-туннелю, исключающему открытый трафик. Далее, получив внутренние IP-адреса корпоративной сети и права доступа внутреннего пользователя, "на общих основаниях" выходит в Интернет по той же технологии, что и пользователи локальных сетей корпоративного офиса. Недостатком этого способа является двойной проход трафика через Интернет (как VPN-туннель до корпоративной сети и далее - открытый доступ к Интернет-ресурсу из локальной сети). Однако при нынешних ценах на Интернет-трафик такой способ доступа не представляется существенным увеличением корпоративного бюджета. Кроме того, взамен мы приобретаем три весьма существенных преимущества:
20. Сервер электронной почты.
21. Корпоративный портал.
22. Файловые серверы и/или прочие файловые ресурсы. Для доступа рекомендуется применять простые и контролируемые методы - FTP, HTTP. Применение разделяемых файловых ресурсов не рекомендуется.
23. Прочие корпоративные приложения.
Система может работать в единой централизованной инфраструктуре аутентификации, управления, мониторинга и аудита:
24. Система управления коммуникациями и средствами сетевой безопасности.
25. Система управления конфигурациями терминалов.
26. Система управления средствами фильтрации вредоносного кода.
27. Система аутентификации с централизованным ядром управления.
28. Система управления учетными записями и правами доступа пользователей.
29. Инфраструктура открытых ключей.
30. Система мониторинга информационной безопасности.
31. Система событийного протоколирования и аудита.
Построение такого комплекса доступа позволяет обеспечить достаточно высокую безопасность корпоративной сети. При этом при всей кажущейся "тяжести" системы отметим, что дополнительную финансовую нагрузку представляют собой только средства защиты пользовательских терминалов 1-8 (они относительно недороги) и каскад доступа удаленных пользователей 9-16 и 25. Прочие элементы инфраструктуры так или иначе присутствуют во всякой "уважающей себя" сети как средства защиты, построенные в интересах внутренних пользователей ЛВС.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2008