Security (1027395), страница 26
Текст из файла (страница 26)
Помните, что при использовании IPSec поверх туннелей GRE (generic routing encapsulation) многоадреснаярассылка и другие сетевые протоколы, а не только IP, могут поддерживаться средой ВЧС.Есть несколько аргументов в пользу выбора IPSec VPN вместо подключения по территориальным сетям.Во-первых, IPSec ВЧС по Интернет может обеспечить локальный доступ в Инетернет ко всем удаленнымсайтам, экономя при этом пропускную способность канала (и сокращая расходы) главной сети. Также вомногих собственных и большинстве общеизвестных приложений IPSec ВЧС предлагает значительнуюэкономию по сравнению с частными подключениями территориальных сетей.Если для сети среднего размера, выполняющей роль сети филиала, выбирается частный канал, то корпоративный модуль Интернет становится не нужен (если в филиале не предполагается еще и собственныйдоступ в Интернет).
С другой стороны, если выбран IPSec VPN, то становится ненужным частный канал,можно обойтись без концентратора ВЧС или маршрутизатора дозвона для удаленного доступа, если такие сервисы предоставляются штаб-квартирой.С точки зрения управления, конфигурирование и управление защитой сети среднего размера должновыполняться из модуля управления, расположенного в штаб-квартире (предполагается централизацияIT-ресурсов). Когда для взаимодействия сайтов выбран частный канал, то управляющий трафик можетпередаваться по нему ко всем управляемым устройствам. При выборе IPSec ВЧС большая часть управляющего трафика передается аналогичным образом, но некоторые устройства, например, оконечный маршрутизатор, размещенный вне межсетевого экрана, не являются частью канала IPSec и должны управляться иначе.
В этом случае можно организовать к устройству дополнительный туннель IPSec илииспользовать для конфигурирования устройства шифрование приложений (SSH). Но, как упоминалось ваксиомах, не все приложения имеют защищенные варианты.ÑËÁ‡ÈÌ ‰Îfl ÔÓ‰Íβ˜ÂÌËfl Û‰‡ÎÂÌÌ˚ı ÔÓθÁÓ‚‡ÚÂÎÂÈВ этом разделе обсуждаются четыре варианта подключения удаленных пользователей к дизайну SAFE. Удаленное подключение применяется для мобильных и надомных сотрудников. Основная задача этого дизайна:обеспечить подключение удаленных пользователей к штаб-квартире, а в некоторых случаях и к Интернет.59Предлагаются следующие решения доступа: программное, программно-аппаратное, аппаратное.●Программный доступ — на компьютере удаленного пользователя установлен программный клиентВЧС и персональный межсетевой экран.●Межсетевой экран на удаленном сайте — удаленный сайт защищен выделенным межсетевым экраном, который плюс к этому поддерживает подключение к корпоративной штаб-квартире по IPSecВЧС; подключение поддерживается предоставляемым провайдеромустройством широкополосного доступа (например DSL или кабельным модемом).●Аппаратный клиент ВЧС — на удаленном сайте установлен аппаратный клиент ВЧС, который поддерживает IPSec ВЧС — подключениек корпоративной штаб-квартире;подключение WAN обеспечиваетсяпредоставляемым провайдером устройством широкополосного доступа.●Маршрутизатор на удаленномсайте — на удаленном сайте установлен маршрутизатор, выполняющий функции межсетевого экранаи поддерживающий подключениек штаб-квартире.
Маршрутизаторможет быть подключен либо напрямую, либо через Интернет-про- êËÒÛÌÓÍ 73. ÑËÁ‡ÈÌ Û‰‡ÎÂÌÌÓ„Ó ‰ÓÒÚÛÔ‡ ÔÓθÁÓ‚‡ÚÂÎÂÈвайдера.60Каждый из приведенных дизайнов обсуждается ниже в разделах «Рекомендации по дизайну». Во всех случаях предполагается подключение через Интернет; если же вместо этого используются частные каналы, тошифрование трафика становится необязательным. Помните, что в любом варианте с удаленным сайтомпериметр защиты предприятия растягивается, чтобы охватить все подключаемые удаленные сайты.Основные устройства●●●●●Устройство широкополосногодоступа — обеспечивает доступ к широкополосной сети(DSL, кабель и проч.).Межсетевой экран с поддержкой ВЧС — поддерживает защищенные шифрованные туннелимежду удаленным сайтом икорпоративным узлом.
Обеспечивает на сетевом уровне защиту ресурсов удаленного сайта идинамическое фильтрованиетрафика.Концентратор Ethernet иликоммутатор Уровня 2 — поддерживает подключения устройств удаленного сайта (может быть интегрирован в межсетевой экран или в аппаратный клиент ВЧС)Персональный программныймежсетевой экран — обеспечивает защиту отдельных компьютеров.Маршрутизатор с функциямиêËÒÛÌÓÍ 74. éÚ‡ÊÂÌË ‡Ú‡Í ‚ ÏÓ‰ÛΠۉ‡ÎÂÌÌÓ„Ó ‰ÓÒÚÛÔ‡межсетевого экрана и ВЧС —поддерживает защищенные шифрованные туннели между удаленным сайтом и корпоративным узлом. Обеспечивает на сетевом уровне защиту ресурсов удаленного сайта и динамическое фильтрование трафика; может поддерживать дополнительные сервисы (голос, QoS).●●Программный клиент ВЧС — поддерживает защищенные туннели между отдельным компьютером икорпоративным узлом.Аппаратный клиент ВЧС — поддерживает защищенные туннели между удаленным сайтом и корпоративным узлом.Предотвращаемые угрозы●●●●●Неавторизованный доступ — нейтрализуется фильтрованием и динамическим инспектированиемсессий на маршрутизаторе/межсетевом экране удаленного сайта или же контролем доступа для приложений с помощью программного межсетевого экрана.Изучение сети — эффективность изучения можно снизить, применив фильтрование протоколов наудаленных устройствах.Вирусы и «троянские» атаки — нейтрализуются антивирусным сканированием на уровне хостов.Подмена адресов IP (spoofing) — нейтрализуется фильтрованием согласно RFC 2827 и RFC 1918 на стороне Интернет-провайдера и устройств удаленного сайта.Атаки «посредника» (Man-in-the-middle) — нейтрализуются шифрованием трафика удаленного сайта.Рекомендации по дизайнуВ этом разделе подробно описывается работа каждого варианта подключения удаленных пользователей.Программный доступПрограммный доступ оптимален для мобильных пользователей и надомных работников.
Всем удаленным пользователям необходим компьютер с установленным программным клиентом ВЧС, а также подключение к Интернет по сетиEthernet или по телефонному каналу.Основной задачей программного клиента ВЧС является установление защищенного зашифрованного канала от устройства клиента до устройства ВЧС на узле отвечающей стороны.
Доступ в сеть и авторизация контролируются изштаб-квартиры; фильтрование выполняется на межсетевом экране и непосредственно у клиента, если ему делегированы такие права. При очередном подключении удаленный пользователь в первую очередь проходит аутентификацию, затем получает динамический IP-адрес, который используется для всего трафика VPN, а также принимает имена серверов (DNS и Windows Internet Name Service — WINS). С центрального узла можно включить или, наоборот, выключить раздельное туннелирование. При дизайне SAFE раздельное туннелирование отключено, принуждая пользователей после установления туннеля ВЧС выходить в Интернет через корпоративное подключение.
Поскольку удаленные пользователи не всегда используют туннели ВЧС при подключении к сети провайдера или к Интернет, то имрекомендуется иметь собственный межсетевой экран, чтобы нейтрализовать попытки несанкционированного доступа на их компьютер. Также им рекомендуется использовать программы-антивирусы, позволяющие защититься от заражения компьютера и от «троянских» атак.Межсетевой экран на удаленном сайтеМежсетевой экран на удаленном сайте подходит для надомных сотрудников или для очень малого филиала. В этомслучае предполагается, что удаленный сайт имеет какой-либо широкополосный канал связи с Интернет-провайдером.Межсетевой экран устанавливается позади DSL- или кабельного модема.Главной задачей межсетевого экрана является установление защищенного зашифрованного туннеля между ним и устройством отвечающей стороны, а также поддержка связи и скрупулезное фильтрование проходящих через него сессий связи.
Отдельно каждому компьютеру удаленной сети программный агент ВЧС для доступа к корпоративным ресурсам не требуется. Дополнительно к этому, поскольку динамический межсетевой экран защищает доступ в Интернет, то и индивидуальные межсетевые экраны каждому компьютеру тоже не требуются. Однако, если сетевой администратор считает необходимым повысить защищенность, то на удаленных компьютерах можно использовать и такиеиндивидуальные межсетевые экраны. Такое построение весьма полезно, если сотрудник часто выезжает в командировки и подключается к Интернет напрямую через сеть общего пользования. Благодаря установленному на хосте динамическому межсетевому экрану и фильтрованию удаленный сайт может иметь прямой выход в Интернет вместопередачи всего трафика через штаб-квартиру. Пока для подключения к штаб-квартирам используется трансляция сетевых адресов (NAT), распределяемые между удаленными устройствами адреса IP не должны конфликтовать междусобой и с адресным пространством самой штаб-квартиры.
Для устройств удаленного сайта, которым требуется прямой доступ в Интернет, необходима трансляция адресов на адреса зарегистрированные. Такую трансляцию можноорганизовать, транслируя все идущие в Интернет сессии на публичные IP-адреса на межсетевом экране.Доступ к корпоративной сети и Интернет, а также авторизация контролируются и межсетевым экраном удаленногосайта, и ответным устройством ВЧС в штаб-квартире. Настройка и защищенное управление межсетевого экрана наудаленном сайте осуществляются по туннелю IPSec из головного офиса.
При таком построении удаленным пользователям не требуется изменять настройки своего индивидуального межсетевого экрана. Доступ к настройкам такого экрана должен открываться только после аутентификации, чтобы локальный пользователь не имел возможности случайно изменить его настройки и таким образом нарушить политику безопасности устройства.
При обращении удаленного пользователя к корпоративной сети его аутентификация не проводится. Вместо этого проводится взаимнаяаутентификация межсетевого экрана удаленного сайта и устройства ВЧС отвечающей стороны.Как и на любом компьютере предприятия, на компьютерах удаленных пользователей рекомендуется использовать антивирусные программы, чтобы защититься от вирусов и «троянских» атак.Аппаратный клиент ВЧСВариант с аппаратным клиентом ВЧС идентичен варианту с межсетевым экраном на удаленном сайте, за исключением того, что аппаратный клиент не имеет постоянного динамического межсетевого экрана. Это требует примененияиндивидуального межсетевого экрана на каждом хосте и в частности при включенном разделении туннелей.61В отсутствие индивидуального межсетевого экрана защищенность хоста, расположенного позади устройства VPN, зависит от неспособности нападающего «обойти» трансляцию сетевых адресов (Network Address Translation — NAT).Это имеет место потому, что, когда разделение туннелей включено, все подключения к Интернет проходят через простую трансляцию типа «все в одно» и не проходят фильтрование Уровня 4 и выше.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
