Доступ извне: защищаем сеть

Удаленно подключаться к сети, чтобы получить доступ к почте или личным документам, могут не только сотрудники организации с мобильными ПК, но и служащие, работающие на стационарных ПК, например дома или в интернет-кафе. Также, учитывая реалии современного бизнеса, не исключе-но, что в скором времени необходимо будет гарантировать доступ к собственной сети со-трудников организаций-партнеров или организаций-клиентов, заинтересованных в ин-формационных порталах, расположенных в защищенной части корпоративной сети, за межсетевым экраном.

Впрочем, при соединении двух локальных сетей всю заботу по организации защищенного соединения берут на себя VPN-шлюзы, многие из которых совмещены с межсетевым экраном. Поэтому пользователи могут работать с удаленными ресурсами организации, не производя каких-либо изменений на своих рабочих станциях.

Но что делать, когда речь идет не о целой организации, а об отдельных пользователях? В этом случае на их ПК должно быть установлено и настроено специальное программное обеспечение для построения традиционных тоннелей IPSec VPN.

В подобных ситуациях легче всего обеспечить необходимым ПО пользователей мобильных ПК. Упрощается задача еще и тем, что, как правило, в офисе и в разъездах эти сотрудники используют один и тот же ПК - свой мобильный компьютер. Все параметры этих компьютеров устанавливаются, контролируются и отслеживаются системными администраторами. Отключаясь от локальной сети и уезжая, например в командировку, удаленные пользователи обычно не меняют такие параметры, как логические буквы дисков, стиль работы с почтой и настройки системы безопасности.

Сложнее работать с сотрудниками, использующими домашний стационарный ПК для доступа к ресурсам своей организации. Хотя, формально, администратор может получить доступ к такому компьютеру, но администрировать его чрезвычайно сложно ввиду многих причин, а зачастую просто невозможно. Большая опасность заключается в том, что нельзя контролировать содержимое жесткого диска этого ПК. В результате компьютер, на котором не обеспечена корпоративная политика безопасности, получает доступ в сеть. Безусловно, он может стать источником проникновения вирусов, различного шпионского ПО и прочих программ, содержащих вредоносный код.

Еще более сложное положение - с предоставлением доступа сотрудникам организации-партнера или клиента. Помимо того что доступ к их компьютерам для администрирования практически невозможен, на межсетевом экране компании-партнера необходимо произвести определенные изменения для транзита необходимого трафика.

В итоге решение, которое прекрасно работает при соединении локальных сетей отдельных подразделений или компаний, очень трудно внедрить для организации подобного доступа для отдельных пользователей.

Специально для таких подключений и была разработана новая технология и устройства, ее реализующие, - шлюзы SSL VPN. [002] Основным ее отличием от традиционных решений IPSec VPN является то, что связь осуществляется на высшем уровне 7-уровневой модели ISO - на уровне приложений. Еще одно важное отличие SSL VPN от IPSec VPN: никакого программного кода, в привычном его понимании, на стороне клиента не требуется, так как может использоваться простой браузер.

Яркий пример устройства, где удачно реализована эта технология, - SSL VPN-шлюз iGate от американской компании SafeNet. Как мы уже говорили, данный тип продуктов отличается поддержкой как веб-, так и клиент-серверных приложений.

ПРИ СОЕДИНЕНИИ ДВУХ ЛОКАЛЬНЫХ СЕТЕЙ ВСЮ ЗАБОТУ ПО ОРГАНИЗАЦИИ ЗАЩИЩЕННОГО СОЕДИНЕНИЯ БЕРУТ НА СЕБЯ VPN-ШЛЮЗЫ...

С помощью iGate, кроме поддержки традиционных веб-приложений, зарегистрированные пользователи могут получить доступ к технологии VPX (Virtual Private Anywhere). Она позволяет работать с любыми приложениями «клиент-сервер», использующими протокол TCP-IP. То есть пользователь, находясь за пределами своей локальной сети, может прозрачно работать с такими приложениями, как базы данных, электронная почта, терминальные программы и прочие. Вся связь через общедоступные сети будет осуществляться с помощью протокола SSL.

При этом в продукте используется двухфакторная аутентификация. Дело в том, что однофакторная аутентификация пользователя традиционным способом (с помощью учетной записи и парол сегодня является ненадежным решением. Этот метод имеет ряд серьезных недостатков, например, перехват пароля обычно происходит незаметно. Когда хакер находит нужную комби-нацию, пользователь никак не предупреждается, что его учетная запись была скомпрометирова-на, украдены его аутентификационные данные.

В частности, доступ нескольких пользователей к одной учетной записи (по одному паролю) есть разновидность указанной выше проблемы. К тому же пароли, которые хакеру сложнее подобрать, очень громоздкие, и сотруднику их трудно запомнить. Это приводит к увеличе-нию административных затрат, связанных с поддержкой пользователей, забывающих свои паро-ли. А также, что еще хуже, к увеличению риска: сотрудники очень часто записывают сложные пароли на бумажные носители. И наконец, человек обычно использует один и тот же пароль, который он уже однажды запомнил, для не-скольких приложений. Естественно, завладев им, злоумышленник получает доступ ко всем используемым приложениям.

Комплекс iGate наряду с традиционными способами поддерживает тесную интеграцию с аппаратными средствами двухфакторной аутентификации пользователей: USB-токенами iKey и Smart-картами.

Также очень важным фактором, отличающим iGate от традиционных решений, является полная реализация Client Policy Feature (ICPF).

ОСНОВНЫМ ОТЛИЧИЕМ SSL VPN ОТ ТРАДИЦИОННЫХ РЕШЕНИЙ IPSEC VPN ЯВЛЯЕТСЯ ТО, ЧТО СВЯЗЬ ОСУЩЕСТВЛЯЕТСЯ НА УРОВНЕ ПРИЛОЖЕНИЙ...

Эта опция, будучи основанной на нескольких объектах политик, позволяет создавать условия, определяющие уровень доступа пользователя во время регистрации. Например, можно про-вести проверку наличия у пользователя анти-вирусных баз и, что более важно, проверить по-следние обновления. По сути ICPF представляет собой систему, с помощью которой условия мож-но назначать пользователям, группам пользова-телей и приложениям/порталам.

Впрочем, некоторые функции iGate позволяют вести активную борьбу с троянцами, вирусами и другими угрозами. Если пользователи подключаются к корпоративным сетевым ресурсам из дома или интернет-кафе, то троян или другая вредоносная программа, находящаяся внутри их компьютеров, может попасть и в корпоративную сеть. Как уже говорилось раннее, шлюз SSL VPN осуществляет подключение на уровне приложений. Следовательно, возможна передача только тех данных, которые принимает при-ложение. Другие виды VPN-решений работают на сетевом уровне и позволяют передавать дан-ные при подключении к сети.

Кроме того, iGate не даст злоумышленникам украсть никаких документов с компьютера сотрудника после завершения сеанса работы, когда контроля состояния системы уже не происходит. Рассмотрим ситуацию, когда пользователь, закончив работу с шлюзом SSL VPN, отключается от портальной страницы. Никаких файлов на своем ПК он не сохранял, работал удаленно. Тем не менее операционная система оставляет после сеансов связи в специальных папках ряд

файлов, предназначенных для ускорения работы при повторном обращении к тем же страницам. Эти файлы состоят из документов MS Office, различных рисунков, графиков, персональных данных пользователя, истории посещения сайтов и прочих. Они несут потенциальную угрозу, так как могут содержать конфиденциальные данные и представлять большой интерес для злоумышленников. В отличие от обычного пользователя, взломщик, получив каким-либо путем доступ к клиентскому ПК, прекрасно осведомлен, в каких папках содержатся эти данные. Для предотвращения подобных ситуаций в iGate реализована уникальная технология - Client Cache Cleaner. Эта технология отслеживает момент завершения пользователем сеанса связи или разрыва соединения и удаляет оставшиеся на компьютере «опасные» файлы. Эта технология способствует повышению безопасности работы благодаря двум факторам: во-первых, удаляются только те файлы, которые были записаны на компьютер во время последнего сеанса. Во-вторых, удаление файлов происходит надежным методом, с зачисткой и перезаписью на стираемое место случайных данных.

Помимо перечисленных выше возможностей iGate, этот комплекс позволяет очень быстро интегрироваться в сеть, чему способствует решение на базе аппаратной платформы с управлением через веб-интерфейс. В то же время отсутствие клиентского ПО значительно снижает расходы на администрирование сети в целом, так как администратору не приходится работать с клиент-скими машинами напрямую. И самое главное, в результате система гарантирует прозрачность работы как внутри локальной сети, так и из лю-бого другого места подключения без перенастройки рабочих станций, не требует интегра-ции с существующей инфраструктурой.

Заключение
Постоянно растущие потребности бизнеса приводят к необходимости открывать свои информационные ресурсы для разных категорий пользователей, а информация сегодня считается самой большой ценностью любой компании. Более 50% компаний по всему миру, потеряв свои базы данных, становились банкротами через 1-2 года. Такая перспектива не порадует ни одного директора, поэтому вопрос охраны и защиты данных стоит остро в любой организации, независимо от того, уделяют ли ему внимание. Аппаратный комплекс iGate позволяет легко перейти на уровень администрирования взаимодействий для приложений, что, пожалуй, в скором времени станет стандартом де-факто для любой серьезной сети.

Публикации по теме

31 января 2018 Meltdown и Spectre - как бороться с уязвимостями нового поколения.
29 апреля 2014 MDM-система берет гаджеты под контроль Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
28 февраля 2014 Антивирус для смартфона – уже не прихоть, а необходимость Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
28 января 2014 Защита для виртуальных систем По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.
30 декабря 2013 Стремительная эволюция систем Endpoint Security Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.