На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 5 сентябрь-октябрь 2009 г.
Тема номера:
ЗАЩИТА БЕСПРОВОДНЫХ СЕТЕЙХ


СТРОГАЯ АУТЕНТИФИКАЦИЯ ПРИ УДАЛЕННОЙ РАБОТЕ
С КОРПОРАТИВНЫМИ РЕСУРСАМИ

Т. Злонов, эксперт по информационной безопасности
Н. Комарова, руководитель направления маркетинговых коммуникаций и PR
Компания Aladdin


Предыдущая статьяСледующая статья

Буквально через 10 лет, по прогнозам Gartner, число сотрудников, работающих в удаленном режиме, существенно увеличится. Их прирост уже сейчас составляет 10–15 % в год. Gartner приводит в пример опыт корпораций Sun и IBM: за три года после внедрения дистанционной работы для своих штатных сотрудников Sun Microsystems сэкономила на аренде помещений 300 млн долл., а IBM ежегодно экономит на «удаленке» до 500 млн долл. Возможно, российским компаниям стоит перенять опыт крупнейших игроков ИТ-рынка? Тем более что вопрос экономии в нестабильных финансовых условиях более чем актуален, причем не только для корпораций, но и компаний сегмента SMB. Оценка применения концепции дистанционной работы сотрудников с технологической точки зрения дает понять, что помимо оснащения рабочего места сотрудника соответствующим набором приложений, неизменно возникает вопрос обеспечения защиты удаленного доступа к корпоративным информационным ресурсам. Решением этого вопроса на стыке технологий не первый год занимаются многие прогрессивные компании. О нескольких сценариях обеспечения безопасной удаленной работы пользователей – данная статья.

Введение

Одним из наиболее распространенных способов обеспечения защищенного удаленного взаимодействия между территориально разнесенными филиалами является организация виртуальных частных сетей (Virtual Private Network – VPN) на базе коммутируемых сетей общего пользования (чаще всего – Интернета). VPN-технологии не требуют построения выделенного канала связи и при грамотном использовании средств защиты могут обеспечивать приемлемый для любой организации уровень информационной безопасности.

При соединении удаленных площадок между собой с помощью VPN-туннеля оконечные устройства (например, компьютеры или шлюзы) могут идентифицироваться в качестве «обезличенных» узлов сети (например, по IP-адресу) и как рабочие места конкретных пользователей (такая идентификация производится, как правило, по сертификату пользователя). Одни туннели могут обеспечивать только взаимную аутентификацию отправителя и получателя информации, а также целостность потока данных. Другие – шифровать данные, причем для различных туннелей могут применяться различные криптографические алгоритмы.

Для удаленной работы пользователей с корпоративными ресурсами повсеместно используются открытые интернет-каналы передачи данных, что по понятным причинам не исключает атаки на ресурсы локальной сети в рамках этого информационного обмена. В качестве временного рабочего места пользователя может выступать его домашний компьютер, ноутбук, подключенный к публичной WiFi-сети, терминал в интернет-кафе или даже мобильное устройство. В таких обстоятельствах на первый план выходят проблемы проверки подлинности пользователя/устройства, обращающегося к корпоративным ресурсам, а также обеспечения конфиденциальности и целостности передаваемой информации. Как правило, защита данных в этом случае осуществляется с использованием шифрования, реализованного в протоколах IPSec и SSL. Для проведения аутентификации пользователя, работающего в дистанционном режиме, могут применяться следующие варианты: пароли, цифровые сертификаты, токены, генераторы одноразовых паролей (One-Time Password – OTP) или же их комбинация.

Для организации безопасной удаленной работы сотрудника на первом этапе устанавливается соединение с интернет-сервис-провайдером, при этом используемый протокол (Ethernet, PPP и т. п.) зависит от среды передачи и конкретного способа соединения с сетью Интернет. Адрес соединения конфигурируется сервис-провайдером. Далее подсоединившийся к Интернету удаленный клиент устанавливает туннель с защищенным периметром корпоративной сети, причем адресом со стороны корпоративной сети будет являться туннельный адрес VPN-шлюза. Если для защиты туннеля используется протокол IPSec, то после этого в границах туннеля клиент работает с внутренними ресурсами сети по протоколу IP, и в этом соединении адрес клиента конфигурируется шлюзом. Ему присваивается внутренний адрес, и клиент становится фактически внутренним хостом корпоративной сети. Понятно, что столь глубоко проникающему в систему пользователю крайне важно пройти процедуру аутентификации.

Варианты аутентификации

При аутентификации пользователей сети удаленного доступа обычно используются следующие варианты:

  • индивидуальный предустановленный ключ или пароль (pre-shared key);
  • цифровой сертификат с закрытым ключом, хранящимся на компьютере;
  • цифровой сертификат с закрытым ключом, хранящимся в памяти токена;
  • комбинация цифрового сертификата одноразового пароля.

Выбор конкретного метода определяется в зависимости от масштаба сети, количества пользователей, сложности инфраструктуры, вариантов подключения пользователей и, конечно, требований по обеспечению информационной безопасности.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100