Раздел: Компьютерная документация -> Сети -> Локальные сети

В последнее время все чаше сотрудникам, находящимся за пределами локальной сети своего предприятия, необходимо иметь доступ к корпоративным данным, находящимся в ней. При этом системные администраторы, отвечающие за корпоративную сеть, должны регламентировать доступ пользователя к внутренним ресурсам, независимо от того, из какого места произведено подключение.

Рис.1. Получение доступа к ресурсам локальной сети

Рассмотрим ситуацию, изображенную на рис. 1. К локальной сети предприятия необходимо организовать доступ различным группам пользователей. Удаленно подключиться могут:

• Сотрудники организации с мобильными ПК;
• Сотрудники организации, работающие со стационарных ПК, например из дома или Интернет-кафе, которым нужно подключиться к электронной почте, базе данных и пр.
• Сотрудники организаций - партнеров или организаций - клиентов, которым необходим доступ к информационным порталам, расположенным в защищенной части корпоративной сети, за межсетевым экраном (МЭ).

При соединении двух локальных сетей, всю заботу по организации защищенного соединения берут на себя VPN-шлюзы, многие из которых совмещены с МЭ. Поэтому пользователи могут работать с удаленными ресурсами организации, не производя каких-либо изменений на своих рабочих станциях.

Но что же делать, когда речь идет не о всей организации, а об отдельных пользователях? В этом случае, на их ПК должно быть установлено и настроено специальное программное обеспечение (ПО) для построения традиционных IPSec VPN-тоннелей.

В подобных случаях легче всего обеспечить пользователей мобильных ПК необходимым ПО. Упрощается задача еще и тем, что в большинстве случаев, в офисе и в разъездах, эти сотрудники используют один и тот же ПК – свой лаптоп. Все параметры этих лаптопов устанавливаются и контролируются системными администраторами. А, отключаясь от локальной сети и уезжая, например, в командировку, они, как правило, не меняют такие параметры как логические буквы дисков, стиль работы с почтой и пр.

Сложнее работать с сотрудниками, использующими, например, домашний стационарный ПК для получения доступа к ресурсам своей организации. Хотя, формально, администратор может получить доступ к такому компьютеру, однако администрировать его чрезвычайно сложно ввиду многих причин, а зачастую просто невозможно. Большая опасность заключается в том, что невозможно контролировать содержимое жесткого диска этого ПК. В результате, компьютер, на котором практически невозможно обеспечить корпоративную политику безопасности, получает доступ в сеть. Безусловно, он может стать источником проникновения вирусов и прочих программ, содержащих вредоносный код.

Еще более сложное положение с предоставлением доступа сотрудникам организации-партнера или клиента. Мало того, что практически невозможен доступ к рабочим компьютерам для администрирования, так еще и на МЭ компании-партнера необходимо произвести определенные изменения для пропуска нужного трафика.

В результате то решение, которое прекрасно работает при соединении локальных сетей отдельных подразделений или организаций, очень трудно реализовать при организации подобного доступа для отдельных пользователей.

Специально для таких подключений и была разработана новая технология, реализованная в устройствах - SSL VPN-шлюзах. Основным ее отличием от традиционных IPSec VPN-решений является то, что связь осуществляется на высшем уровне 7-ми уровневой модели ISO - на уровне приложений. Еще одно важное отличие SSL VPN от IPSec VPN заключается в том, что никакого программного кода, в привычном его понимании, на стороне клиента не требуется, так как может использоваться простой браузер. Ярким примером устройства, в котором удачно реализована эта технология, является SSL VPN – шлюз iGate от американской компании SafeNet. На территории России и стран СНГ интересы этого всемирно известного разработчика и производителя представляет официальный дистрибьютор - Rainbow Technologies. iGate внедрен и успешно функционирует как в ведущих американских страховых компаниях, банках, Европарламенте, так и в ряде крупнейших банков на территории стран СНГ. Благодаря тому, что в версии iGate, созданной для отечественного рынка, используются сертифицированные ФСБ российские криптоалгоритмы (криптопровайдер Крипто Про CSP 3.0. ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.10-2001), его можно использовать не только в коммерческих организациях, но на государственных предприятиях и учреждениях.

Основные функциональные характеристики программно-аппаратного комплекса iGate SSL VPN

Поддержка Web - и клиент-серверных приложений

Рис. 2 Портальная страница со списком доступных приложений

Надежная двухфакторная аутентификация

• Перехват пароля обычно происходит незаметно. Когда хакер находит нужную комбинацию, пользователь никак не предупреждается, что его учетная запись была скомпрометирована – т.е. украдены его аутентификационные данные.
• Доступ нескольких пользователей к одной учетной записи (по одному паролю) является разновидностью указанной выше проблемы.
• Пароли, которые хакеру сложнее подобрать, очень громоздкие и сотруднику их трудно запомнить. Это приводит к увеличению административных затрат, связанных с поддержкой пользователей, забывающих свои пароли. А также, что еще хуже, к увеличению риска из-за того, что сотрудники очень часто записывают сложные пароли на бумажные носители.
• Человек обычно использует один и тот же пароль, который он уже единожды запомнил, для нескольких приложений. Это приводит к тому, что, завладев им, злоумышленник получает доступ ко всем этим приложениям.

Рис. 3 Варианты аутентификации пользователей

Комплекс iGate, наряду с традиционными способами, поддерживает тесную интеграцию и с аппаратными средствами двухфакторной аутентификации пользователей: USB-токенами iKey и Smart-картами (см. Рис.3). При этом пароль к портальной странице iGate, защищающей удаленные ресурсы, надежно хранится в закрытой памяти электронного идентификатора.

Client Policy Feature (ICPF)

Программно-аппаратный комплекс iGate версии 4.0 поддерживает следующие Объекты Политик (Policy Objects):

• IP Address: Позволяет указать диапазон IP-адресов, которым разрешен доступ в систему.
• Time of Day: Позволяет указать определенные дни недели и время, в которые разрешен доступ в систему.
• Authentication: Политика аутентификации, позволяющая определить механизм аутентификации (пара «логин-пароль» или электронный идентификатор), который будет использован при доступе в систему.
• Client Product: Позволяет проверить наличие у пользователя определенных программных продуктов, например, антивирусов, межсетевых экранов и пр. Предварительно настроенная политика проверяет не только наличие антивируса и брандмауэра, но и дату обновления антивирусных баз.
• Client State: Позволяет проверить соответствие пользовательских настроек принятой в компании конфигурации. Данная опция предоставляет средства контроля определенных значений реестра/файлов пользователя.

Трояны, Вирусы и т.д.

Очистка кэша

Простота настройки устройства администратором

Рис.4 Web интерфейс настройки устройства

Для запуска iGate необходимо выполнить следующие действия:

• Настроить конфигурацию устройства: сбор информации, необходимой для подключения устройства к сети.
• Провести авторизацию пользователей: создание внутренних и внешних аутентификационных групп и программирование USB-ключей iKey или smart-карт.
• Определить защищенные ресурсы: описание и настройка приложений, к которым будут иметь доступ внешние пользователи.
• Создать политики: создание правил для проверки определенных условий на компьютере клиента
• Определить права доступа для групп пользователей: назначение определенных ресурсов и созданных политик группам пользователей

Системы, развернутые на базе SSL VPN-технологии, реализованной в программно-аппаратном комплексе iGate, позволяют организациям воспользоваться дополнительными возможностями, предоставляемыми фирмой SafeNet (см. рис. 5).

Рис.5 Возможности SSL iGate

К преимуществам, которые получают организации, используя iGate SSL VPN-шлюз можно отнести:

• Быстрое развертывание работы в системе, благодаря решению на базе аппаратной платформы с управлением через web-интерфейс
• Отсутствие клиентского ПО значительно снижает расходы на администрирование
• Тесную интеграцию с аппаратными средствами аутентификации и тщательную проверку клиентских компьютеров, что снижает риски несанкционированного доступа к корпоративным ресурсам
• Прозрачность работы как внутри локальной сети, так и из любого другого места подключения без перенастройки рабочих станций не требует интеграции с существующей инфраструктурой
• Сохранение привычного стиля работы, что снижает затраты на обучение пользователей новым технологиям

При расширении возможностей работы сотрудников, клиентов и партнеров в своих локальных сетях из любой точки мира, компании, в первую очередь, должны думать о безопасности создаваемых подключений.

Такие устройства, как iGate от SafeNet, поддерживающие работу с SSL-протоколами, являются решениями, реализующими современные технологии защищенного удаленного доступа к корпоративным данным из любой точки мира. Их использование позволяет значительно увеличить уровень безопасности при удаленной работе мобильных сотрудников с корпоративными данными и предоставляет для этого более широкие возможности.

Автор: Rainbow Technologies
Источник: www.citcity.ru