VPN на основе протокола SSL: преимущества и риски

0
628 views

ПРЕИМУЩЕСТВА ТЕХНОЛОГИИ SSL VPN

Виртуальные частные сети (VPN,- Virtual Private Network) на основе протокола SSL (Secure Sockets Layer) предназначены для безопасного предоставления корпоративных сетевых услуг любому авторизованному пользователю, который получает возможность удаленного доступа к корпоративным ресурсам из любой точки мира, где имеется Интернет и стандартный веб-браузер. Использование веб-браузера и встроенных систем шифрования SSL обеспечивает доступ к корпоративной сети с любых удаленных устройств, например, через домашние ПК, интернет-киоски или беспроводные устройства Wi-Fi, то есть из любой точки, включая и те, где установка клиентского программного обеспечения VPN и создание соединений VPN с протоколом IPSec сопряжены с большими трудностями. Если требования заказчика к доступу не являются жесткими, то предварительная установка VPN-клиента не требуется. Администраторы могут настраивать параметры доступа к веб-сайтам и корпоративным приложениям индивидуально для каждого пользователя. Кроме того, поскольку корпоративные межсетевые экраны, как правило, поддерживают соединения по протоколу SSL, дополнительная настройка сети не требуется. В результате технология SSL VPN позволяет легко обходить межсетевой экран и обеспечивать доступ из любой точки.

РИСКИ, СВЯЗАННЫЕ С ПРИМЕНЕНИЕМ ТЕХНОЛОГИИ SSL VPN

Тем не менее, применение технологии SSL VPN для поддержки удаленного доступа с любого конечного устройства имеет не только преимущества, но и недостатки, связанные с вопросами безопасности. Расширение сети до точек удаленного доступа, не контролируемых вашей компанией, создает дополнительные угрозы безопасности для корпоративных ресурсов. Помимо проблем аутентификации удаленных пользователей необходимо определить, насколько опасна сама среда удаленного доступа. Например, при получении удаленного доступа к сети через интернет-киоск в аэропорту или через домашний компьютер, подверженный неизвестным угрозам (например, программам-шпионам, регистрирующим все нажатия клавиш на клавиатуре), шифруется сама транзакция. Однако по завершении сеанса удаленного доступа на компьютере остается некоторая информация, которая в определенных условиях позволяет постороннему человеку получить доступ к закрытой информации о компании или даже к самой корпоративной сети. После завершения сеансов SSL VPN на компьютере остаются файлы cookies, журнал просмотренных страниц, временные файлы, сохраненные пароли, а также вложения электронной почты, сохраненные на рабочем столе или в кэш-памяти браузера. Предоставление удаленного доступа к корпоративным ресурсам делает систему уязвимой для внешних угроз. В конечной системе могут быть запущены вирусы, черви или вредоносные программы (malware = malicious software), занимающиеся сбором конфиденциальной информации.

ПОИСК ЗОЛОТОЙ СЕРЕДИНЫ

В основе любого решения SSL VPN должна лежать надежная защита конечной системы, включающая удаление по завершении сеанса журнальных файлов, временных файлов, очистку кэш-памяти, удаление файлов cookies, вложений электронной почты, сохраненных паролей и других загруженных данных. Задача заключается в том, чтобы поддержать гибкость, присущую технологии SSL VPN, не раскрывая при этом конфиденциальных корпоративных ресурсов (Рисунок 1).

РЕШЕНИЕ

Решение Cisco® WebVPN предлагает простой и изящный способ создания на любом удаленном компьютере полностью защищенного, гибкого сеанса SSL VPN, который не оставляет никаких следов по его (сеанса) завершении. Основным компонентом архитектуры Cisco WebVPN является защищенный рабочий стол (Cisco Secure Desktop). Он обеспечивает возможность надежного удаления всех следов ценной информации благодаря использованию единого защищенного места хранения сеансовых данных. Этот компонент гарантирует, что файлы cookies, журнал просмотренных веб-страниц, временные файлы, сохраненные пароли и загруженные файлы будут удалены с компьютера после выхода удаленного пользователя из системы или тайм-аута сеанса SSL VPN. Шифрование всех данных и файлов, с которыми работал пользователь на протяжении сеанса SSL VPN, повышает уровень защиты данных от хищения и воздействия вредоносных программ, запущенных в клиентской системе.

БЕЗОПАСНОЕ УДАЛЕНИЕ ДАННЫХ

Для надежного удаления всех следов ценной сеансовой информации в клиентской системе создается зашифрованный раздел жесткого диска, который используется для создания виртуального рабочего стола, не связанного с обычным рабочим столом. Все операции в пределах одного сеанса выполняются в защищенной среде виртуального рабочего стола. При этом данные записываются в зашифрованный раздел жесткого диска. В результате создается единое защищенное место или хранилище для сеансовых данных и обеспечивается их удаление из клиентской системы. Кроме того, устраняются проблемы, связанные с разными полномочиями конечных пользователей и настройками браузера. По окончании сеанса SSL VPN журнальные файлы, временные файлы, кэши, файлы cookies, вложения электронной почты и другие загруженные данные полностью удаляются из защищенного хранилища, не оставляя после себя никаких следов.

МАКСИМАЛЬНЫЙ УРОВЕНЬ БЕЗОПАСНОСТИ

Система Cisco Secure Desktop на порядок превосходит другие аналогичные решения, основанные на технологии SSL VPN. Шифрование информации происходит с момента установления сеанса, а не после его завершения. Это имеет большое значение в случае внезапного прерывания сеанса или наступления тайм-аута в результате бездействия. Кроме того, в данной архитектуре вся сеансовая информация хранится в защищенном разделе, а по завершении сеанса удаляется с помощью специального алгоритма, разработанного Министерством обороны США. Это обеспечивает максимальный уровень безопасности конечной системы.

Конкурирующие программы очистки кэш-памяти не могут служить полноценным решением и не могут обеспечить требуемый уровень безопасности. Эти программы предназначены для очистки кэша временных файлов Интернета после завершения сеанса. Несмотря на очевидную пользу этих программ, значительная часть информации по-прежнему остается в системе и создает угрозу для безопасности. Программы данного класса не удаляют файлы, напрямую сохраненные пользователем, исключают из процедур удаления журнальные файлы, подключаемые модули Internet Explorer, управляющие элементы Active X, а также записи в файле index.dat (скрытая таблица URL-адресов, создаваемая браузером Internet Explorer). Автоматически сохраняемые пароли также не удаляются, а многие приложения, например, iNotes, сохраняют просмотренные файлы в уникальной папке, которая остается на жестком диске после очистки кэш-памяти браузера. Информацию, удаленную при помощи этих программ, как правило, можно легко восстановить, используя соответствующие программные средства.

ШИРОВАЯ ПОДДЕРЖКА ПРАВИЛ ДОСТУПА (ПОЛИТИК)

В архитектуре Cisco Secure Desktop предусмотрена возможность определения различных правил доступа (политик) и пользовательских профилей в зависимости от местоположения пользователя и типа используемого устройства (домашний компьютер, интернет-киоск или корпоративный ноутбук), что позволяет гарантировать защищенность всех конфиденциальных данных без ущерба для производительности труда. Эти функции могут активироваться по результатам проверки целостности хоста, которая включает проверку установленного в конечной системе антивирусного программного обеспечения, персонального межсетевого экрана, а также операционной системы Windows с пакетами исправлений. Например, в политике компании может быть предусмотрено обязательное использование всеми сотрудниками персонального межсетевого экрана для доступа к корпоративной сети. Если межсетевой экран не установлен или не работает, пользователю будет отказано в доступе либо он будет перенаправлен на отдельную веб-страницу с дополнительными инструкциями, например, по загрузке персонального межсетевого экрана. Кроме того, можно определить правила, касающиеся загрузки компонента Cisco Secure Desktop в зависимости от типа конечного устройства. Во время работы на корпоративных ноутбуках удаленные сотрудники нуждаются в менее высоком уровне защиты, чем в случае их обращения к корпоративной сети через интернет-киоск. Cisco Secure Desktop позволяет легко настроить эти правила.

ЗАКЛЮЧЕНИЕ

Cisco Secure Desktop обеспечивает безопасность удаленного доступа к корпоративной сети с любого компьютера и гарантирует, что после завершения сеанса удаленной работы на компьютере не останется никаких лишних данных конфиденциального характера. В результате повышается общий уровень производительности и безопасности системы.

Защищенный доступ по технологии SSL VPN без установки специального клиентского ПО может быть предоставлен к корпоративным файлам, веб-страницам, а также к приложениям клиент/сервер. Используя виртуальные частные сети (VPN), организации могут предоставлять защищенный доступ к любым сетевым ресурсами с любой удаленной точки доступа. Управление удаленным доступом на основе технологи SSL VPN позволяет контролировать пользователей, удаленные конечные устройства и используемую среду доступа.

Cisco Secure Desktop поддерживают следующие платформы, работающие с архитектурой Cisco WebVPN:

• Устройства защиты Cisco ASA 5500 Series Security Appliances с программным обеспечением версии 7.1 или выше

• Маршрутизаторы с операционной системой Cisco IOS версии 12.4(6)T или выше

• Концентраторы Cisco VPN 3000 Series версии 4.7 или выше

• Модуль Cisco WebVPN Services Module для Cisco Catalyst 6500 Series и Cisco 7600 Series версии 1.2 или выше