ВСЕГДА  МОЖНО
ОБРАТИТЬСЯ

Строгая аутентификация при удаленной работе с корпоративными ресурсами (часть1).

Часть 2→

Авторы:

Тарас Злонов, эксперт по информационной безопасности
Ника Комарова, руководитель направления маркетинговых коммуникаций и PR, компания Aladdin

Буквально через 10 лет по прогнозам Gartner, число сотрудников, работающих в удаленном режиме, существенно увеличится. Их прирост уже сейчас составляет 10—15% в год. Gartner приводит в пример опыт корпораций Sun и IBM: за три года после внедрения дистанционной работы для своих штатных сотрудников Sun Microsystems сэкономила на аренде помещений 300 млн. долл., а по подсчетам IBM, корпорация ежегодно экономит на «удалёнке» до 500 млн. долл. Возможно, российским компаниям стоит перенять опыт крупнейших игроков ИТ-рынка? Тем более, что вопрос экономии в нестабильных финансовых условиях более чем актуален, причем не только для корпораций, но и компаний сегмента SMB. Оценка применения концепции дистанционной работы сотрудников с технологической точки зрения, дает понять, что помимо оснащения рабочего места сотрудника соответствующим набором приложений, неизменно возникает вопрос обеспечения защиты удаленного доступа к корпоративным информационным ресурсам.

Решением этого вопроса на стыке технологий не первый год занимаются многие прогрессивные компании. О нескольких сценариях обеспечения безопасной удаленной работы пользователей данная статья.

Одним из самых распространенных способов обеспечения защищенного удаленного взаимодействия между территориально разнесёнными филиалами является организация виртуальных частных сетей (VPN , Virtual Private Network) на базе коммутируемых сетей общего пользования (чаще всего - Интернет). VPN-технологии не требуют построения выделенного канала связи и при грамотном использовании средств защиты, могут обеспечивать приемлемый для любой организации уровень информационной безопасности.

При соединении удалённых площадок между собой с помощью VPN-туннеля оконечные устройства (например, компьютеры или шлюзы) могут идентифицироваться, как «обезличенные» узлы сети (например, по IP-адресу) и как рабочие места конкретных пользователей (такая идентификация производится, как правило, по сертификату пользователя). Одни туннели могут обеспечивать только взаимную аутентификацию отправителя и получателя информации, а также целостность потока данных. Другие – шифровать данные, причем для различных туннелей могут применяться различные криптографические алгоритмы.

Для удаленной работы пользователей с корпоративными ресурсами повсеместно используются открытые Интернет-каналы передачи данных, что, по понятным причинам, не исключает атаки на ресурсы локальной сети в рамках этого информационного обмена. В качестве временного рабочего места пользователя может выступать его домашний компьютер, ноутбук, подключенный к публичной WiFi-сети, терминал в Интернет-кафе или даже мобильное устройство. В таких обстоятельствах на первый план выходят проблемы проверки подлинности пользователя/устройства, обращающегося к корпоративным ресурсам, а также обеспечения конфиденциальности и целостности передаваемой информации. Как правило, защита данных в этом случае осуществляется с использованием шифрования, реализованного в протоколах IPSec и SSL. Для проведения аутентификации пользователя, работающего в дистанционном режиме, могут использоваться следующие варианты: пароли, цифровые сертификаты, токены, генераторы одноразовых паролей (OTP, One-Time Password) или же их комбинация.

Для организации безопасной удаленной работы сотрудника на первом этапе устанавливается соединение с интернет-сервис провайдером, при этом используемый протокол (Ethernet, PPP и т.п.) зависит от среды передачи и конкретного способа соединения с сетью Интернет. Адрес соединения конфигурируется сервис-провайдером. Далее, подсоединившийся к Интернет удалённый клиент, устанавливает туннель с защищённым периметром корпоративной сети, при этом адресом со стороны корпоративной сети будет являться туннельный адрес VPN-шлюза. Если для защиты туннеля используется протокол IPSec, то после этого внутри туннеля клиент работает с внутренними ресурсами сети по протоколу IP и в этом соединении адрес клиента конфигурируется шлюзом. Ему присваивается внутренний адрес и клиент становится фактически внутренним хостом корпоративной сети. Понятно, что для столь глубоко проникающего в систему пользователя крайне важно пройти процедуру аутентификации.

Варианты аутентификации

При аутентификации пользователей сети удалённого доступа обычно используются следующие варианты:

  • индивидуальный предустановленный ключ или пароль (pre-shared key);
  • цифровой сертификат с закрытым ключом, хранящимся на компьютере;
  • цифровой сертификат с закрытым ключом, хранящимся в памяти токена;
  • комбинация цифрового сертификата одноразового пароля.

Выбор конкретного метода определяется в зависимости от масштаба сети, количества пользователей, сложности инфраструктуры, вариантов подключения пользователей и, конечно, требований по обеспечению информационной безопасности.

Сведём основные плюсы и минусы указанных методов в таблицу:

Таблица 1. Преимущества и недостатки различных методов аутентификации

Метод аутентификации Преимущества Недостатки
Pre-shared key Простота технического решения Сложность в использовании технически неподготовленным сотрудником, низкая масштабируемость системы, требуется доверенный канал для распространения ключей, неприемлемо низкий уровень безопасности
Цифровой сертификат с закрытым ключом, хранящимся на компьютере Простота управления (создание, распространение, отзыв сертификатов), масштабируемость системы Требуется наличие инфраструктуры открытых ключей (PKI, Public Key Infrastructure), дополнительные эксплуатационные расходы, низкая мобильность пользователя в силу «привязки» сертификата к конкретному компьютеру
Цифровой сертификат с закрытым ключом, хранящимся в памяти токена Простота управления (создание, распространение, отзыв сертификатов), масштабируемость системы, простота использования, высокий уровень обеспечиваемой безопасности, возможность использования однократной аутентификации (Single Sign-On) Требуется наличие инфраструктуры открытых ключей (PKI), дополнительные эксплуатационные расходы и затраты на токены
Цифровой сертификат и одноразовый пароль <Простота управления (создание, распространение, отзыв сертификатов), масштабируемость системы, увеличение стойкости/td> Требуется наличие инфраструктуры открытых ключей (PKI) , инфраструктуры аутентификации (TACAS+ или RADIUS), высокие эксплуатационные расходы, дополнительные затраты на устройства и наличие

В зависимости от структуры сети, аутентификация пользователя при доступе к ресурсам и приложениям может выполняться на шлюзе внешнего или внутреннего периметра, а также внутри него. Многократное прохождение процедуры аутентификации не слишком удобно, в связи с чем, широкое распространение получили методы сквозной аутентификации Single Sign-On (SSO). Существует два варианта реализации SSO: использование единых атрибутов аутентификации или на основе построения так называемых отношений доверия между системами.

В первом случае для аутентификации применяется один и тот же пароль или один и тот же цифровой сертификат при обращении к различным ресурсам. Недостаток такого способа заключается в том, что компрометация одного атрибута аутентификации приводит к компрометации всей системы.

При втором подходе пользователь аутентифицируется лишь единожды, например, при входе в домен. Далее, ко всем необходимым ресурсам и сервисам сети он получает доступ автоматически. Реализация SSO предполагает наличие так называемого сервера авторизации, который отвечает за предоставление пользователю прав доступа. Главным недостатком такого подхода является невозможность его применения в гетерогенной инфраструктуре, где функционируют программные продукты разных вендоров, несовместимые между собой, или же унаследованные приложения, не поддерживающие работу с имеющимся в сети сервером авторизации.

Разумным выходом в таком случае является использование токена – аппаратного USB-устройства (или смарт-карты), которое позволяет хранить несколько различных сертификатов с индивидуальными политиками безопасности (например, в части длины ключа или срока действия закрытого ключа) и совместимо с большинством современных систем и приложений мировых вендоров. Кроме того, в защищенную область памяти токена можно записать логины и пароли пользователей от унаследованных приложений, не поддерживающих работу с инфраструктурой открытых ключей (PKI).

Один из вариантов решения проблемы защищенного корпоративного взаимодействия при удалённой работе пользователей был представлен в рамках технологического проекта компаний Aladdin, Cisco и S-Terra. Совместное решение компаний объединило различные методы аутентификации, интегрированные инновационные решения для IP-телефонии, передачи данных, голоса, видео и решения для построения VPN-соединений.

В широкой продуктовой линейке средств построения безопасных сетевых соединений компании S-Terra особого внимания заслуживает модуль NME-RVPN. Данный аппаратный модуль может использоваться в составе маршрутизаторов серии Cisco® 2800 и 3800 Integrated Services Routers. Устройство позволяет обеспечить эффективную маршрутизацию и защиту трафика данных, голоса, видео. При этом для управления им не требуется дополнительных интерфейсов - модуль NME-RVPN использует интерфейс Cisco для формирования правил маршрутизации и защиты сетевых взаимодействий. Глубокая интеграция позволяет упростить построение сети, не предъявлять дополнительных требований к квалификации персонала и, как результат, снизить затраты на поддержку, а также сократить сроки развертывания подсистемы информационной безопасности. Модуль NME-RVPN поддерживает работу с аппаратными средствами аутентификации eToken, чему указанные разработчики уделяют особое внимание.

В сценариях удалённого доступа ключи eToken могут использоваться не только для аутентификации пользователей. Так, например, в защищённой памяти ключа могут сохраняться политики безопасности самого VPN-клиента (см. Рис.1). Данные политики определяют права доступа пользователя и уровень его привилегий при подключении к корпоративной сети организации. Политики безопасности могут обновляться с помощью централизованной системы управления токенами – TMS, Token Management System.

Читать дальше→