В первую очередь необхо*димо обеспечить доступ к документам, почте и уда*ленному рабочему столу через VPN-соединение, т. е. организовать работу по защищенному зашифрованному каналу связи. VPN*-соединение устанавливается через специализированные программные или аппаратные решения, т. н. VPN-*шлюзы. Программное решение — это программа, которая устанавливается на сервер, должным образом сопрово*ждается и поддерживается. Аппаратное решение (appliance), ко*торое монтируется в стойку, содержит предустановленное и сконфигурирован*ное программное обеспечение. Размеры аппаратных решений по высоте состав*ляют 1–2 U. Их модификаций масса, но главная особенность в том, что вы получаете готовое преднастроенное, предустановленное оборудование, и все, что с ним нужно сделать, — это провести интеграцию в существующую среду. На мой взгляд, у аппаратных реше*ний есть несколько значительных пре*имуществ над программными, и здесь в первую очередь стоит говорить о гаран*тийном обслуживании. Гарантия и техни*ческая поддержка носят комплексный ха*рактер и выполняются одной компанией, то же самое происходит и с обновлением систем. При этом системный администра*тор получает «готовое обновление», и ему не надо задумываться о том, будет ли обновленное программное обеспечение совместимо с текущей версией операци*онной системы и не возникнут ли между ними конфликты. Как правило, произ*водители аппаратных решений постав*ляют платформу, которая оптимальным образом подходит для решения постав*ленных задач. Соответственно, заказчик, покупая аппаратное решение, не будет задумываться над тем, что произойдет в случае использования программного решения, какую серверную платформу, какое «железо» необходимо выбрать. Варианты удаленного доступа Обычно удаленный пользователь по*лучает доступ к корпоративным инфор*мационным ресурсам с корпоративного ноутбука, когда находится в команди*ровке, или со своего домашнего ком*пьютера. Механизм таков, что в режиме работы VPN-соединения фактически про*исходит объединение двух сетей: поль*зовательской и корпоративной. В рамках формирования этого VPN-соединения можно построить определенное ограни*чение на предоставление доступа к тем или иным ресурсам. При этом не всегда есть уверенность, что рабочее место пользователя защищено, есть ли там антивирусы, локальный файрвол и т. д. На мой взгляд, целесообразно работать не просто в режиме VPN-соединения, то есть по защищенному каналу, но и кон*тролировать информационные потоки, попадающие в «офис», на предмет чи*стоты. Таким образом, устройство, кото*рое по своей сути является VPN-шлюзом, выполняет комплексные функции: межсе*тевое экранирование, антивирус и пр. На выходе мы получаем комплекс*ное аппаратное решение, которое может осуществить и защищенный удаленный доступ на базе VPN, и вы*полнить функции шлюзового антиви*руса для фильтрации как входящего интернет-трафика, так и всей инфор*мации, которая циркулирует между внутренней сетью и удаленными ком*пьютерами пользователей. Соответ*ственно, речь идет о консолидации всевозможных функций в одно уни*версальное устройство, которое будет предоставлять заказчику практически все существующие на сегодняшний день сервисы безопасности. Следующий случай, касающийся за*щищенного удаленного доступа, — это объединение по защищенному каналу двух и более офисов. Многие компании сегодня имеют разветвленную инфра*структуру, и практически всегда прак*тикуется централизованный подход использования ресурсов, например, по*чтовый сервер расположен в централь*ном офисе, и пользователи, находящи*еся в региональных, дочерних офисах с меньшим количеством сотрудников, работают фактически в удаленном режиме. Те же задачи, которые были упомянуты ранее, возникают и в слу*чае защиты канала типа «офис-офис». В этом случае мы говорим о построении VPN-соединений не между VPN-шлюзом и компьютером пользователя, а между двумя VPN-шлюзами. Используются раз*ные термины для обозначения соедине*ний таких типов, самое распространен*ное из них — Branch Office VPN. Особенно важно организовать про*цесс подтверждения личности поль*зователя в процессе установления VPN-соединения. Так или иначе, рас*сматривая любую задачу из раздела информационной безопасности, мы всегда будем сталкиваться с вопро*сами, связанными с аутентификацией личности. В данном случае рассмотрим вопрос аутентификации удаленного пользователя. Аутентификация удаленного пользователя Существует несколько разных тех*нологий. Наиболее распространенная на сегодняшний день — аутентификация по статическим паролям. В этом случае VPN-шлюз использует собственную базу пользователей. Второй возможный вариант — переадресация с запроса аутентификации в корпоративную служ*бу каталогов, например, Active Directory, как частный случай LDAP-каталога. В этом случае пользователь вводит те логин и пароль, которые использует каждый день за рабочим компьютером. Такой подход более применим в ситуа*циях обслуживания большого количе*ства пользователей, так как исключает необходимость дублирования учетных записей. К сожалению, есть масса недостатков и масса уязвимостей, связанных с при*менением статических данных. Можно с уверенностью сказать, что их исполь*зование при аутентификации с домаш*него компьютера пользователя сопрово*ждается довольно большими рисками, так как они подвержены атакам метода записи и воспроизведения. Оптимальный вариант решения этой задачи — аутентификация пользовате*ля на корпоративных VPN-шлюзах или других ресурсах по динамическим дан*ным, например, одноразовым паролям. Генераторы одноразовых паролей могут быть реализованы в виде устройства или в виде плагина на мобильный теле*фон. Прохождение аутентификации с ис*пользованием одноразовых паролей не требует подключения устройства к ком*пьютеру, а значит, значительно упроща*ет сам процесс и его сопровождение со стороны службы поддержки. Отдельно стоит упомянуть комби*нированные технологии. Наиболее ин*тересная реализация — ActivIdentity DisplaySmartCard. Чем она примеча*тельна? По своей сути это комбинация двух устройств. Первое — чипованная смарт-карта, на которой хранится циф*ровой сертификат пользователя. Эта часть является контактной и может ис*пользоваться для PKI-аутентификации, ЭЦП и прочих PKI-задач. Вторая часть, которая является бесконтактной, — это генератор одноразовых паролей. Она более проста в эксплуатации, не требует подключения к компьютеру и использу*ется при получении удаленного доступа, когда пользователь работает, например, со своего компьютера. При этом уста*новки дополнительного программного обеспечения не требуется. В рамках одного устройства мы можем выполнять не только разные типы аутентификации, но и дополнительные задачи. Если мы заговорили об аутентифика*ции по одноразовым паролям в контек*сте получения уделенного доступа, то нужно рассмотреть и серверную компо*ненту. Вопрос заключается в интеграции VPN-шлюза и сервера аутентификации. Наиболее очевидный вариант — это ис*пользование стандартных протоколов аутентификации, например, RADIUS. Далее все зависит от того, какой функционал предлагается сервером аутентификации. Это могут быть одно*разовые пароли, аппаратные или про*граммные плагины для мобильных теле*фонов, СМС, отсылаемые на мобильный телефон пользователя, всевозможные дополнительные статические методы. Идея заключается в том, что для аутен*тификации удаленного пользователя лучше использовать одноразовые паро*ли, потому что эта технология, с одной стороны, крайне проста в эксплуатации, с другой — очень надежна. Два этих компонента, отвечающих за защиту ка*нала связи, то есть VPN-шлюз и сервер аутентификации, который предоставляет соответствующие сервисы аутентифика*ции, должны интегрироваться. При рассмотрении вопроса аутен*тификации может зайти речь об ис*пользовании цифровых сертификатов. Но практика показывает, что, если мы рассматриваем получение доступа пользователями к корпоративным ре*сурсам не только с
