:::::: № 5 сентябрь-октябрь 2009 г. :::::: - Журнал «Защита информации. Инсайд»

		№ 5 сентябрь-октябрь 2009 г. Тема номера: ЗАЩИТА БЕСПРОВОДНЫХ СЕТЕЙХ
		СТРОГАЯ АУТЕНТИФИКАЦИЯ ПРИ УДАЛЕННОЙ РАБОТЕ С КОРПОРАТИВНЫМИ РЕСУРСАМИ Т. Злонов, эксперт по информационной безопасности Н. Комарова, руководитель направления маркетинговых коммуникаций и PR Компания Aladdin

Буквально через 10 лет, по прогнозам Gartner, число сотрудников, работающих в удаленном режиме, существенно увеличится. Их прирост уже сейчас составляет 10–15 % в год. Gartner приводит в пример опыт корпораций Sun и IBM: за три года после внедрения дистанционной работы для своих штатных сотрудников Sun Microsystems сэкономила на аренде помещений 300 млн долл., а IBM ежегодно экономит на «удаленке» до 500 млн долл. Возможно, российским компаниям стоит перенять опыт крупнейших игроков ИТ-рынка? Тем более что вопрос экономии в нестабильных финансовых условиях более чем актуален, причем не только для корпораций, но и компаний сегмента SMB. Оценка применения концепции дистанционной работы сотрудников с технологической точки зрения дает понять, что помимо оснащения рабочего места сотрудника соответствующим набором приложений, неизменно возникает вопрос обеспечения защиты удаленного доступа к корпоративным информационным ресурсам. Решением этого вопроса на стыке технологий не первый год занимаются многие прогрессивные компании. О нескольких сценариях обеспечения безопасной удаленной работы пользователей – данная статья.

Введение

Одним из наиболее распространенных способов обеспечения защищенного удаленного взаимодействия между территориально разнесенными филиалами является организация виртуальных частных сетей (Virtual Private Network – VPN) на базе коммутируемых сетей общего пользования (чаще всего – Интернета). VPN-технологии не требуют построения выделенного канала связи и при грамотном использовании средств защиты могут обеспечивать приемлемый для любой организации уровень информационной безопасности.

При соединении удаленных площадок между собой с помощью VPN-туннеля оконечные устройства (например, компьютеры или шлюзы) могут идентифицироваться в качестве «обезличенных» узлов сети (например, по IP-адресу) и как рабочие места конкретных пользователей (такая идентификация производится, как правило, по сертификату пользователя). Одни туннели могут обеспечивать только взаимную аутентификацию отправителя и получателя информации, а также целостность потока данных. Другие – шифровать данные, причем для различных туннелей могут применяться различные криптографические алгоритмы.

Для удаленной работы пользователей с корпоративными ресурсами повсеместно используются открытые интернет-каналы передачи данных, что по понятным причинам не исключает атаки на ресурсы локальной сети в рамках этого информационного обмена. В качестве временного рабочего места пользователя может выступать его домашний компьютер, ноутбук, подключенный к публичной WiFi-сети, терминал в интернет-кафе или даже мобильное устройство. В таких обстоятельствах на первый план выходят проблемы проверки подлинности пользователя/устройства, обращающегося к корпоративным ресурсам, а также обеспечения конфиденциальности и целостности передаваемой информации. Как правило, защита данных в этом случае осуществляется с использованием шифрования, реализованного в протоколах IPSec и SSL. Для проведения аутентификации пользователя, работающего в дистанционном режиме, могут применяться следующие варианты: пароли, цифровые сертификаты, токены, генераторы одноразовых паролей (One-Time Password – OTP) или же их комбинация.

Для организации безопасной удаленной работы сотрудника на первом этапе устанавливается соединение с интернет-сервис-провайдером, при этом используемый протокол (Ethernet, PPP и т. п.) зависит от среды передачи и конкретного способа соединения с сетью Интернет. Адрес соединения конфигурируется сервис-провайдером. Далее подсоединившийся к Интернету удаленный клиент устанавливает туннель с защищенным периметром корпоративной сети, причем адресом со стороны корпоративной сети будет являться туннельный адрес VPN-шлюза. Если для защиты туннеля используется протокол IPSec, то после этого в границах туннеля клиент работает с внутренними ресурсами сети по протоколу IP, и в этом соединении адрес клиента конфигурируется шлюзом. Ему присваивается внутренний адрес, и клиент становится фактически внутренним хостом корпоративной сети. Понятно, что столь глубоко проникающему в систему пользователю крайне важно пройти процедуру аутентификации.

Варианты аутентификации

При аутентификации пользователей сети удаленного доступа обычно используются следующие варианты:

индивидуальный предустановленный ключ или пароль (pre-shared key);
цифровой сертификат с закрытым ключом, хранящимся на компьютере;
цифровой сертификат с закрытым ключом, хранящимся в памяти токена;
комбинация цифрового сертификата одноразового пароля.

Выбор конкретного метода определяется в зависимости от масштаба сети, количества пользователей, сложности инфраструктуры, вариантов подключения пользователей и, конечно, требований по обеспечению информационной безопасности.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья