Виртуальная степень свободы

в 18:38, , рубрики: vpn, информационная безопасность, метки:
Мир изменился.

Еще несколько лет назад работа в компании обязательно подразумевала наличие рабочего места в уютном офисе: стол с компьютером и фотографией любимой собаки, утренние встречи с коллегами у кофе-машины и все остальные атрибуты присутствия на территории работодателя. При этом для решения большинства задач было достаточно компьютера и подключения к корпоративной сети.
В современном мире доля таких задач приближается к ста процентам. Появились надежные и скоростные каналы связи. Ноутбуки стали в разы мощнее офисных компьютеров пятилетней давности. Смартфоны несут в себе большую вычислительную мощность, чем суперкомпьютеры, применявшиеся для расчета траекторий первых космических полетов.
Мир стал мобильнее, намного мобильнее, чем это может показаться на первый взгляд. Появилась и стремительно развивается новая ниша квалифицированной рабочей силы — фрилансеры и консультанты. Множество направлений крупнейших мировых корпораций отданы на аутсорс, задачи выполняют удаленные консультанты, которые не состоят в штате компании и работают над определенным проектом. Это позволяет гибко планировать ресурсы под конечные задачи и значительно минимизировать расходы.
Глобализация отложила отпечаток и на внутренние процессы крупных предприятий. Появились так называемые “виртуальные команды”: группы людей, работающих над одним проектом из различных филиалов компании. Они могут никогда не встречаться лично, но при этом отлично сработались и показывают превосходную эффективность.
Сотрудникам, постоянно находящихся в разъездах, исторически приходилось преодолевать множество трудностей, вызванных большими расстояниями до родной компании. Сначала все коммуникации сводились к длительным телефонным разговорам, с огромными счетами за роуминг в конечном итоге. Потом появился нестабильный и крайне дорогой в роуминге GPRS доступ. Затем началась эпоха Wi-Fi в отелях и бизнес-центрах. Сейчас, с появлением и распространением мобильных сетей третьего и четвертого поколений, можно устанавливать прямые сеансы видеосвязи со своими коллегами прямо с мобильного телефона.
Для больших мегаполисов характерны не только высокие заработки, но и высокие цены на жилье, постоянные пробки на дорогах. Мне известны люди, которые ежедневно тратили по два с половиной часа на то, чтобы добраться до работы. И потом еще столько же на обратную дорогу. Только подумайте — пять часов в сутки на дорогу. Это почти треть всего времени бодрствования, а значит почти треть жизни! После столь длительного пути сотрудник приходит на работу уже уставший, и значит, о максимальной отдаче можно забыть. С моей точки зрения, тратить больше часа на дорогу в одну сторону смысла нет. Если дорога занимает больше времени, то надо или искать подходящее жилье около офиса компании, или переходить на удаленный режим работы.
Итак, возможности современных информационных сетей достаточны для комфортной работы вне предприятия. Мотивы для использования удаленных подключений я изложил выше. Каковы же недостатки?

Все упирается в безопасность.

Рассмотрим сотрудника компании, постоянно работающего из дома. В офисе сотрудник пользуется корпоративными ресурсами, находясь внутри корпоративной сети. Сторонний доступ к информации исключен. Все видят, что сотрудник работает над поставленными задачами и результаты труда плюс приобретенные знания не утекают за пределы компании. Есть четкая взаимосвязь между вложением средств и получаемой отдачей. При этом все возможные риски сведены к минимуму.
Работая удаленно, сотрудник обычно показывает лучшие результаты работы. Это связано с комфортной обстановкой, отсутствием стрессов по пути на работу, со свободным графиком, с любимым кактусом около монитора. Проще планировать задачи, никто не отвлекает по пустякам, при необходимости можно поработать поздно вечером. Идеальная рабочая среда для разработчиков, администраторов и дизайнеров.
Для таких сотрудников предприятию следует обеспечить доступы к корпоративным ресурсам наравне с их “локальными” коллегами. Все передаваемые данные должны быть защищены от перехвата и изменения. Важно удостовериться, что над задачей работает именно тот человек, с которым заключено трудовое соглашение. Широко известна история про высокопоставленного сотрудника отдела безопасности американской компании, который делегировал большинство своих задач удаленным консультантам из Китая, а сам тем временем ничего полезного не делал, покупая на разницу между своей зарплатой и платежами за работу консультантов различные вещи на интернет-аукционах. Несмотря на очевидную оптимизацию расходов, предприятию был нанесен значительный ущерб в виде доступа к конфиденциальным данным с стороны третьих лиц. Риски такого типа устраняются на уровне проверки сотрудника перед предоставлением доступа, так как не существует надежных технических решений для недопущения подобных ситуаций, если сам сотрудник заинтересован в предоставлении доступа третьим лицам.
Исключив намеренный “саботаж” со стороны сотрудника, можно обозначить следующие риски при предоставлении удаленного доступа:
• Провайдер широкополосного доступа в интернет может перехватывать данные от сотрудника к предприятию. Угроза устраняется использованием защищенных соединений на базе VPN.
• Система входа в корпоративную сеть через защищенное соединение находится вне компетенции системных администраторов предприятия. Сотрудник может подключиться с домашнего компьютера, для которого есть высокая вероятность заражения вирусами, способных получить доступ к корпоративным ресурсам через защищенное соединение. Угроза устраняется выделением сотруднику сертифицированного ноутбука с предустановленными программами для удаленного доступа и жесткими политиками безопасности, ведением логов активности на стороне сервера.
• Соединение провайдера широкополосного доступа в интернет может быть временно недоступно в результате аварий, ошибок маршрутизации, плановых работ и так далее. Проблема решается организацией резервных подключений к другим провайдерам, возможно к мобильным операторам через 3G/LTE модемы.
При соблюдении приведенных рекомендаций можно уверенно говорить об успешном использовании удаленных рабочих мест.

Воины дорог

Итак, с домашними сотрудниками полный порядок, они успешно выполняют план работ, пишут документацию в корпоративную базу знаний и участвуют в еженедельных видеоконференциях с руководителем проекта. Соединения с офисом устанавливаются с определенных сетевых адресов и с сертифицированного оборудования. Все под контролем!
Для отдельной категории сотрудников удаленный доступ необходим из самых разнообразных мест. Речь идет о «воинах дорог», или «Road Warriors» в устоявшейся терминологии. Это сотрудники отделов продаж, внедрения, сопровождения, а так же руководство компании. Всем необходим качественный и безопасный доступ к информации в корпоративной сети. Точкой входа может быть любое устройство с доступом в интернет: смартфон, ноутбук, даже чужой компьютер! Вполне реальна ситуация, когда представитель компании на крупной IT-выставке бежит с одной важной встречи на другую и внезапно понимает, что документы к встрече лежат на сервере компании, а ноутбук разряжен, принтера рядом нет. При грамотно реализованной системе удаленного доступа есть возможность подключится к корпоративному порталу и скачать нужные документы хоть в ближайшем интернет-кафе. При этом риски компрометации параметров доступа и самих данных будут сведены к минимуму.
Риски при предоставлении доступа “воинам” дорог значительно выше. Это необходимо учитывать при планировании и развертывании инфраструктуры доступа.

Гастарбайтеры

Консультанты, фрилансеры, удаленная техподдержка сторонних компаний, все они формируют следующий тип доступа — гостевой доступ. Данный тип доступа отличается от остальных очень строгим списком предоставляемых ресурсов в корпоративной сети, обязательным ограничением срока действия и ведением журнала подключений и активности пользователя. Несмотря на подписанное соглашение о нераспространении информации (NDA), риски утечки данных при гостевом доступе значительны. Желательно фильтровать гостевые подключения по IP-адресу гостя, обычно диапазон доверенных адресов прописывается в договоре на оказание услуг. Так же крайне важно автоматизировать отключение доступа в рамках истекших соглашений. На моей памяти был один случай, когда сотрудник технической поддержки крупной компании использовал гостевой доступ к клиенту для отправки писем с почтового сервера клиента в течение нескольких лет.

Технические решения

Спектр технических решений для организации удаленного доступа достаточно широк. Все они в той или иной степени используют три основных действия: идентификация, авторизация и шифрование.
Идентификация — это “распознавание” пользователя. Идентификация может производиться по связке имя-пароль, с помощью одноразовых паролей (One-Time-Password — OTP), по цифровому сертификату, по IP или MAC адресу или по биометрическим параметрам типа отпечатка пальца или рисунка сетчатки глаза. Цена ошибочной идентификации чрезвычайно высока.
Авторизация — это назначение прав доступа для идентифицированного пользователя. Хорошей практикой является ограничение прав пользователя по принципу “все запрещено, кроме”, при котором явно прописываются все необходимые пользователю доступы. Цена ошибочной авторизации ниже, чем у ошибочной идентификации, но так же существенна. Очень частой ошибкой является предоставление более широкого доступа пользователю, чем это требуется для выполнения своих обязанностей.
Шифрование — это процесс сокрытия передаваемой информации от посторонних глаз с обязательным контролем целостности данных. В настоящее время наиболее распространено шифрование передаваемых данных симметричным сессионным ключом, который уникален для каждой сессии обмена информацией.
Давайте детально остановимся на наиболее распространённых реализациях упомянутых действий. Мы не будем рассматривать пока еще экзотические биометрические способы идентификации, так как они больше подходят для контроля физического доступа, чем для удаленного доступа.
Связка имя-пароль является наиболее простым и наименее защищенным способом идентификации пользователя. Имя и пароль могут относительно легко быть считаны с клавиатуры специальными вредоносными программами “кейлоггерами”, которые включены во множество вирусов. Если имя и пароль хранятся на компьютере пользователя, то те же вирусы способны извлечь эти данные и послать их злоумышленнику для расшифровки. Так же связку имя-пароль можно получить с помощью социальной инженерии, отправив жертве специальное письмо с просьбой прислать секретные данные якобы для проверки или устранения неисправности доступа. Некоторые пользователи склонны не полагаться на свою память и записывают пароли на листочки и потом приклеивают их на стену или на монитор. Этим грешат даже военные службы! В 2012 году был скандал с фотографией английского принца Уильяма в расположении вертолетной базы, где проходил службу наследник британской короны. Там на информационной доске была прикреплена бумажка с параметрами доступа к закрытой военной сети. После инцидента военным пришлось менять пароли по всей стране и пересматривать методы идентификации. Безопасность идентификации по паролю может быть значительно повышена при использовании одноразовых паролей. Одноразовый пароль запрашивается напрямую с сервера идентификации по СМС или электронной почте, или генерируется по специальному алгоритму в приложении для смартфона или в отдельном портативном устройстве, например в RSA token. Некоторые банки выпускают платежные карты со встроенным модулем OTP. Уникальность одноразового пароля и ограничение по сроку действия не позволяют использовать метод подбора при взломе.
Следующий способ идентификации — совпадение MAC или IP адреса устройства пользователя. Оба этих параметра достаточно просто фальсифицировать. Допустимо использовать такую идентификацию только в качестве дополнительного фильтра в совокупности с более надежным способом идентификации.
Наиболее надежным и безопасным способом идентификации является идентификации по цифровым сертификатам. Что такое цифровой сертификат? Это цифровое “удостоверение личности” устройства или пользователя. Формально говоря, цифровой сертификат — это всего лишь открытый ключ, подписанный центром сертификации. Существует еще закрытый ключ, который генерируется и хранится у владельца сертификата. То, что зашифровано с помощью открытого ключа, можно расшифровать исключительно закрытым ключом, и наоборот. Подразумевается, что открытый ключ известен всем, поэтому он так и называется. Информация, зашифрованная закрытым ключом, может быть расшифрована кем угодно, так как открытый ключ ни от кого не прячется. Однако, можно однозначно сказать, что расшифрованная информация исходила только от того, у кого есть закрытый ключ. Это называется цифровая подпись.
Информация, зашифрованная открытым ключом, может быть расшифрована только закрытым ключом, это значит, что прочитает ее исключительно владелец сертификата. Шифровать открытым ключом может кто угодно, так как открытый ключ доступен всем.
Цифровые сертификаты выпускает (подписывает) издающий центр сертификации. Если сертификат был скомпрометирован, например владелец сертификата не сберег свой закрытый ключ, то сертификат отзывается. Центр сертификации выпускает и подписывает список отозванных сертификатов CRL (Certificate Revocation List), который потом публикуется на сервере. Ссылка на этот ресурс содержится в каждом выпущенном сертификате, поэтому приложение, использующее сертификаты (например VPN сервер) может загрузить CRL и проверить действительность сертификата.
Для большей защищенности, пара ключей может храниться на специальных смарт-картах (smart card) или USB-ключах (cryptographic token). Из большинства подобных изделий физически невозможно извлечь закрытый ключ, что делает компрометацию закрытого ключа крайне маловероятной.
Помимо открытого ключа, сертификат содержит множество дополнительной информации. Это может быть имя и фамилия пользователя, адрес электронной почты, имя учетной записи в домене и т.п. Для сервера идентификации проверка и последующее извлечение данных из сертификата является полной гарантией, что подключающийся пользователь именно тот, за кого он себя выдает.
При повышенных требованиях к безопасности используются сочетания описанных методов, например пара имя-пароль и фильтр по IP-адресу, или двухфакторная идентификация с помощью постоянного пароля и кода, присланного на мобильный телефон по СМС. Самым высоким требованиям безопасности удовлетворяет идентификация по клиентскому сертификату, дополненная одноразовым паролем.

Ценный груз

Очевидно, что использование сертификатов является наиболее надежным и безопасным способом идентификации. Как я уже писал, сертификат — это открытый ключ с набором дополнительных параметров, сформированный в специальный пакет и все это подписано доверенным центром сертификации. Закрытый ключ должен находиться на стороне клиента и хранится вне стороннего доступа. Есть два способа формирования пары открытого и закрытого ключей: локальный и удаленный.
Удаленный способ подразумевает генерацию обоих ключей в центре сертификации, последующим формированием сертификата, упаковка сертификата и закрытого ключа в защищенный контейнер и передача контейнера на терминальное устройство клиента (компьютер, телефон, планшет) по безопасным каналам связи. Относительно безопасным каналом связи можно назвать загрузку файла с https ресурса, особенно если web сервер поддерживает современные протоколы шифрования, такие как TLS 1.1 и выше. Защита контейнера осуществляется при помощи симметричного шифрования паролем, который передается конечному пользователю по альтернативным каналам связи, например, диктуется голосом по телефону, присылается в виде СМС и т.п. При получении контейнер с криптографическими данными открывается, и сертификат с закрытым ключом устанавливаются в локальное хранилище сертификатов. У данного метода есть значительные недостатки: пользователь должен часть процессов выполнять самостоятельно, что требует времени и определенных навыков, к тому же существует ненулевой риск перехвата крипто-контейнера и пароля к нему сторонними лицами.
Локальный метод генерации ключей наиболее безопасный и защищенный. Оборудование конечного пользователя генерирует пару ключей, создает на базе открытого ключа запрос на сертификат и посылает его в центр сертификации на подпись. Затем принимается готовый сертификат и устанавливается в локальное хранилище сертификатов. Как видно, закрытый ключ не покидал пределы конечного оборудования, что делает невозможным компрометацию ключа в процессе обмена информацией с центром сертификации. Генерировать локальные ключи и отсылать запрос на сертификат можно вручную, а можно использовать специальные стандарты и протоколы для автоматизации. Автоматизированный процесс получения или обновления цифровых сертификатов называется автоматической ротацией, или в устоявшейся терминологии — AutoEnrollment.
Для Windows систем наиболее распространены два протокола: WCCE и MS-XCEP. Первый работает только в доменной среде и использует DCOM в качестве транспорта. Второй протокол более гибкий, работает в домене и вне домена, и использует XML поверх HTTPS в качестве транспорта. Для современных установок рекомендуется использовать именно MS-XCEP.
Сетевые маршрутизаторы, коммутаторы Cisco, мобильные телефоны на базе Apple iOS, а так же операционные системы OS X, Linux и FreeBSD поддерживают протокол ротации сертификатов SCEP. Это достаточно простой и удобный протокол, использует XML поверх HTTPS.

Рецепт успеха

Грамотная настройка автоматической ротации сертификатов в корпоративной среде позволяет скрыть все технические сложности, связанные с получением и установкой средств идентификации. Для конечных пользователей процесс получения сертификата может происходить совершенно незаметно, в фоновом режиме, или при минимальном участии пользователя.
Рассмотрим классический пример грамотного развертывания удаленного доступа всех описанных типов с использованием инфраструктуры открытых ключей (Public Key Services, PKI). Предположим, что компания должна иметь удаленные рабочие места для сотрудников, работающих из дома; доступ для сотрудников, постоянно находящихся в разъездах; доступ для консультантов и технической поддержки сторонних компаний. В качестве ядра системы развертывается иерархия центров сертификации корпоративного уровня: один корневой центр и несколько издающих.
Издающий центр сертификации должен иметь развитую систему управления и мониторинга, а так же несколько стандартных интерфейсов для внешних запросов. Так же необходимо настроить периодическую генерацию листов отзыва сертификатов (CRL) и службу проверки сертификатов в режиме реального времени (OCSP responder). Это позволит остальным службам, использующие сертификаты, оперативно исключать отозванные сертификаты из обработки.
В доменной среде Windows (мы подразумеваем, что на предприятии используется Windows) настраиваются правила автоматической ротации машинных и клиентских сертификатов. При первом подключении компьютера к домену компьютер автоматически получает свой машинный сертификат, при первой регистрации учетной записи пользователя так же запрашивается сертификат, но у же для пользователя. Все процессы происходят без участия пользователя, автоматически. Пользовательский сертификат можно размещать на смарт-карте, что значительно повышает безопасность системы. Если пользователь в качестве рабочей станции использует ноутбук, то машинный сертификат можно использовать для автоматического подключения к беспроводной сети предприятия (и все филиалов предприятия), а пользовательский сертификат будет использоваться для авторизации, т.е. для входа в домен и получения необходимых доступов. Администратор домена подготавливает и распространяет среди сотрудников профиль удаленного доступа, где для идентификации используются ранее полученные сертификаты. При подключении из дома сотрудник запускает профиль удаленного доступа, компьютер идентифицируется на VPN шлюзе предприятия и далее сотрудник входит в домен, как если бы он находился в офисе. Желательно, но необязательно, настроить фильтрацию доступа по IP адресам, так как у большинства сотрудников обычно статические адреса домашнего подключения.
Для путешествующих сотрудников профиль удаленного доступа слегка отличается, к идентификации по сертификатам добавляется проверка с помощью одноразовых паролей. Так же создается защищенный веб-портал, на который можно зайти из любого места без рабочего ноутбука. Для идентификации используются статический и одноразовый пароли. Доступ предоставляется в виде отображения рабочего стола виртуального сервера в окне браузера. Именно с таким доступом можно получить и распечатать нужные документы из любого интернет-кафе.
Для гостевого доступа выпускаются сертификаты со сроком действия, равным сроку предоставления доступа. Настраивается профиль и права доступа по данным из сертификата. При необходимости досрочно закрыть доступ, сертификат отзывается.
Несколько последних лет ознаменовали собой резким ростом количества мобильных устройств. Смартфоны и планшеты буквально ворвались в повседневную жизнь. Одним из лидеров мобильных устройств является компания Apple, благодаря высокому качеству и грамотному позиционированию продуктов образовалась целая экосистема “яблочных” устройств в корпоративном секторе. Доходит то того, что iPad стал включаться в пакет оснащения депутата государственной думы.
К счастью, у продуктов под управлением Apple iOS все хорошо с поддержкой корпоративных нужд. Реализован механизм загрузки и применения конфигурационных профилей, которые могут содержать запросы на получение сертификатов по протоколу SCEP, а так же настройки для автоматического подключения к корпоративному шлюзу VPN. Получение и установка профиля требует однократного одобрения со стороны пользователя, все остальные процессы происходят в фоновом режиме. Профиль позволяет очень широко управлять настройками телефона или планшета. Помимо сертификатов и VPN, можно передать параметры подключения к беспроводным сетям, настройки корпоративной почты, параметры безопасности, например, требование всегда защищать доступ к телефону цифровым кодом. Есть возможность отключить камеру или диктофон. Можно даже запретить просмотр роликов на YouTube, хотя особого смысла в таком запрете я не вижу. Технически возможно удаленно стереть загруженный профиль вместе со всем его содержимым: почтой, настройками удаленного доступа, доступа к беспроводным сетям, и т.д. Это чрезвычайно удобно при увольнении сотрудника, или при потере телефона.

Выводы

Безопасность информации на предприятии стоит дорого. В современном мире основной ценностью компаний являются знания. Промышленный шпионаж и утечка информации вследствие уязвимостей представляют собой совершенно реальные угрозы. Возможность сотрудников работать удаленно не только повышает эффективность труда, но и положительно влияет на лояльность сотрудников по отношению к предприятию. Если при этом соблюдаются все требования к информационной безопасности, то можно с уверенностью сказать, что предприятие достигло гармонии и процветания. Современные технические и программные средства позволяют безопасно подключаться к ресурсам предприятия из любой точки земного шара, где есть доступ в интернет.

Автор: Maximus43

Источник

Поделиться

* - обязательные к заполнению поля