Олексій АНДРІЯШИНА
консультант з безпеки
Check Point Software Technologies
Домашній офіс
Співробітник, що працює віддалено через Інтернет, в більшій мірі вразливий, ніж локальний користувач, і становить потенційну загрозу для своєї організації. Тому безпеки віддалених користувачів необхідно приділяти особливу увагу.
Основні принципи інформаційної безпеки
Технології побудови системи віддаленого доступу
Ключовою ланкою при побудові системи віддаленого доступу є технології VPN. При побудові захищених каналів найчастіше використовують IPsecVPN і SSL (TLS) VPN. У цих підходів є істотні відмінності, що часто викликає суперечки, яка ж з технологій краще. Пропоную коротко розглянути, чим відрізняються ці дві технології.
Протоколи IPsec працюють на мережному рівні, в той час як SSL і TLS працюють на транспортному рівні. Все ж пам'ятають побудова мережевої моделі OSI? У свою чергу, IPsec-протоколи діляться на два класи: протокол обміну ключами (IKE) і протоколи захисту даних, що передаються (ESP і AH). При роботі через міжмережевий екран важливо правильно налаштувати правила фільтрації, щоб пропускати пакети протоколів AH і ESP. Для AH ID протоколу - 51, а ESP має ID протоколу 50 (дуже часто плутають поняття "ID протоколу" і "номер порту"). Також важливо не забути налаштувати правило, яке забезпечить роботу протоколу IKE. Для цього необхідно відкрити порт UDP 500.
Для роботи протоколу SSL VPN потрібно набагато менше дій під час налаштування правил на межсетевом екрані, так як SSL працює на транспортному рівні, і найчастіше використовується порт TCP 443 (протокол HTTPS) Дуже часто цей порт відкритий за замовчуванням, і завдяки цьому SSL VPN використовують в тих випадках, коли немає можливості самостійно налаштовувати правила на межсетевом екрані. Така ситуація є типовою для орендованих приміщень, наприклад у великому торговому або бізнес-центрі. Ще одна особливість технології SSL VPN, яку іноді можна вважати перевагою, - відсутність необхідності в передбаченому VPN-клієнта на робочому місці. Завдяки тому що практично всі інтернет-браузери підтримують HTTPS, ця технологія набула великого поширення. При організації віддаленого доступу використовуються SSL VPN-шлюз, за допомогою якого користувач отримує доступ до необхідних ресурсів.
Особливості розвитку VPN-технологій в Росії
Якщо говорити про нашу країну, то простежується наступна тенденція. IPsec VPN застосовується в тих випадках, коли необхідно використовувати встановлений VPN-клієнт (в цьому випадку користувач прив'язаний до свого ноутбука, але має в своєму розпорядженні повним набором потрібних йому інструментів). Цей підхід вимагає додаткових заходів безпеки: повне шифрування дисків, використання антивіруса, контроль периферійних портів, засоби ідентифікації користувача і інші заходи. Можна домогтися суттєвої економії, якщо всі ці механізми будуть реалізовані в одному програмному клієнта.
Якщо говорити про нашу країну, то простежується наступна тенденція. IPsec VPN застосовується в тих випадках, коли необхідно використовувати встановлений VPN-клієнт (в цьому випадку користувач прив'язаний до свого ноутбука, але має в своєму розпорядженні повним набором потрібних йому інструментів).
Існує підхід до організації підключення віддалених користувачів, при якому користувачеві видається недорогий апаратний VPN-шлюз. Такий метод позбавлений мобільності, але виправданий при організації постійних домашніх робочих місць (homeoffice). Але без контрольованого антивіруса тут теж, як ви розумієте, не обійтися.
аутентифікація даних
Аутентифікація має на увазі верифікацію інформації, отриманої на етапі ідентифікації шляхом введення PIN, біометричних даних, пароля або OTP (one-time password). При аутентифікації можуть використовуватися цифрові сертифікати, випущені внутрішнім документом з центром або при використанні зовнішньої PKI-інфраструктури, а також деякі засоби аутентифікації.
Дуже часто зустрічається така ситуація, коли колишні співробітники компанії протягом деякого (іноді дуже тривалого) часу мають віддалений доступ до ресурсів. А деякі навіть не підозрюють про таку можливість, хоча вона існує. Чи не нагадує випадок в аеропорту і пов'язані з цим наслідки. Така серйозна проблема може виникнути в тому випадку, коли відсутня централізована система управління інформаційною безпекою. Побічно про це можуть говорити такі факти:
- користувачі зберігають в пам'яті 5-6 паролів для доступу до різних ресурсів;
- на підключення облікового запису нового співробітника і на відключення облікових записів звільненого співробітника йде більше одного дня;
- доступ до конфіденційної інформації не обмежений;
- дії співробітників, що мають доступ до секретної інформації, не контролюються.
Якщо хоча б одна з цих умов виконується, у компанії існують серйозні проблеми з інформаційною безпекою в цілому.
Таким чином, надавати віддалений доступ співробітникам можна тільки в тому випадку, коли впроваджена централізована система управління безпекою, існує матриця доступу користувачів до ресурсів, призначені відповідальні за поширення тієї чи іншої інформації. Загалом, вирішені базові завдання інформаційної безпеки. У цьому випадку завдання віддаленого доступу буде лише окремим питанням, що не вимагає перебудування всієї інформаційної системи компанії.