безопасный удалённый доступ
- 1. SSL или IPSEC? Что же выбрать для безопасного удалённого доступа? _________________________________________________________________________________________________________________________________________ Докладчик: Алексей Абашев
- 2. Куда мы движемся? С каждым днём все больше становиться мобильных устройств _________________________________________________________________________________________________________________________________________
- 3. Куда мы движемся? Растут запросы пользователей на предоставление доступа к информации и корпоративным ресурсам _________________________________________________________________________________________________________________________________________
- 4. Куда мы движемся? И, как следствие, возрастают требования к обеспечению безопасности информации _________________________________________________________________________________________________________________________________________
- 5. Как устроена стандартная защита ? • Если это ноутбук, то он может иметь VPN клиент и антивирус, а если планшет или смартфон то… • Если Браузер подключается к сайту используя SSL пользователь аутентифицируется по сертификату с флэшки (в лучшем случае с токена), а иногда просто пароль, особенно если это iPad • На межсетевом экране прописаны разрешённые ресурсы в виде сетевых адресов • Доступ в почту с телефона или планшета – как правило настроенный почтовый агент, или просто IMAP и SMTP c устройства _________________________________________________________________________________________________________________________________________
- 6. Платформы Сколько платформ, столько и реализаций системы безопасности • Windows • Linux • iPad, iPod, iPhone • Android _________________________________________________________________________________________________________________________________________
- 7. Чем рискуем? • Воровство данных аутентификации по каналу связи • Физический неконтролируемый доступ к удалённым компьютерам • Ограничения оборудования • Доступ с неуправляемых удалённых устройств _________________________________________________________________________________________________________________________________________
- 8. Вспомним модель OSI/ISO Модель OSI/ISO Тип данных Уровень (layer) Функции 7. Прикладной (application) Доступ к сетевым службам Данные 6. Представительский Представление и шифрование (presentation) данных 5. Сеансовый (session) Управление сеансом связи Прямая связь между конечными Сегменты SSL 4. Транспортный (transport) пунктами и надежность Определение маршрута и Пакеты IPSEC 3. Сетевой (network) логическая адресация Кадры 2. Канальный (data link) Физическая адресация Биты 1. Физический (physical) Работа со средой передачи, сигналами и двоичными данными _________________________________________________________________________________________________________________________________________
- 9. Посмотрим внимательно на SSL VPN • SSL VPN спроектирован для удалённого доступа • Нет проблем с NAT • Часто не требует клиента • Если используется специальный агент – то настройки со стороны клиента минимальны либо отсутствуют • Все равно через какую сеть подключается • Обычно, везде открыт доступ на 443 порт (SSL) • Строгая политика безопасности (даётся доступ только к тому что надо) • Пользователю проще работать (портал) _________________________________________________________________________________________________________________________________________
- 10. Что требуется для безопасности доступа? • Обеспечить защищённое соединение (шифрованное) • Определить это свой пользователь? • Определить это своё (доверенное) устройство или нет? • Обеспечить безопасность удалённого устройства • Обеспечить аудит действий пользователя. • Обеспечить разграничение доступа к ресурсам • Обеспечить удаление информации на удалённом устройстве после окончания сеанса связи (если требуется) _________________________________________________________________________________________________________________________________________
- 11. Вот оно решение – StoneGate SSL VPN! • Безопасный доступ с любых устройств Встроенная двух факторная аутентификация Интеграция с любыми каталогами и др. (AD, LDAP, Oracle) • Интегрированное управление угрозами Только доверенные соединения . Анализ целостности и безопасности устройства Удаление «следов» работы пользователя. • Гранулированное и гибкое управление доступом Авторизация на уровне приложений Концепция – только то что разрешено _________________________________________________________________________________________________________________________________________
- 12. StoneGate SSL VPN позволяет ответить на вопросы: • КТО получает доступ? • Какие ресурсы пользователю доступны? • С какого устройства он получает доступ ? • Это ЧЕЛОВЕК или программа? • Из какой сети он получает доступ? • Обеспечивается ли безопасность на удаленном устройстве достаточным образом? • Можно на это устройство копировать информацию? _________________________________________________________________________________________________________________________________________
- 13. Реализация различных уровней доступа почта файлы • При не прохождении отдельных видов тестов или доступе с неавторизованного устройства, доступ к ресурсам может быть ограничен политикой безопасности. _________________________________________________________________________________________________________________________________________
- 14. Борьба с угрозами • Персональный Firewall используется в политиках по умолчанию и используется для защиты хоста при подключении к внутренним ресурсам • Добавляются дополнительные правила доступа если пользовательский антивирус недоступен или не обновлён • Переподключение или новый анализ безопасности если это необходимо (ЕСЛИ ПОЛИТИКА БЕЗОПАСНОСТИ НАРУШЕНА) • Отключение в необходимых случаях, когда динамические проверки показывают несанкционированную деятельность пользователя _________________________________________________________________________________________________________________________________________
- 15. Борьба с угрозами • Критические данные удаляются – Технологии удаления кэш и других областей памяти • Слежение за определёнными файлами которые скачиваются на удалённое устройство _________________________________________________________________________________________________________________________________________
- 16. Сценарии доступа • Web доступ через портал – Доступ через браузер к приложениям или ресурсам, опубликованным на внутреннем защищённом портале • Доступ пользовательских приложений – Доступ определённых (разрешённых) приложений к ресурсам защищаемой сети – Никаких настроек на клиентском месте, работа как в локальной сети • Сетевой доступ (динамический туннель) – Поддерживаются любые порты и приложения – Доступ аналогичен использованию IPSEC клиента – Позволяет передавать голос, видео … _________________________________________________________________________________________________________________________________________
- 17. Как это работает? • Для Пользователя это выглядит как доступ на веб сайт • Просто набираем сайт типа https:yoursite.ru • Выбираем метод аутентификации, ввели аутентификационные данные и … попали в портал _________________________________________________________________________________________________________________________________________
- 18. Как это работает? Для работы с ресурсом нужно просто кликнуть нужную иконку или нужное приложение и ресурс откроется …. _________________________________________________________________________________________________________________________________________
- 19. Типичное расположение SSL VPN сети • Типично шлюз устанавливается в DMZ компании. К нему открывается только доступ HTTP и HTTPS • Соединения проводятся исключительно через SSL- туннель со строгой аутентификацией сервисы Сервера DMZ LDAP приложений MS AD APP server Citrix Oracle Oracle Db Novell File share Radius Lotus Internet RSA MS Exchange SSH Server TCP/443 (SSL) Web portal TCP/UDP (ANY) _________________________________________________________________________________________________________________________________________
- 20. Поддержка приложений Поддерживается большое количество приложений позволяя обеспечивать им прямой, но контролируемый доступ к ресурсам сети _________________________________________________________________________________________________________________________________________
- 21. Технология ActiveSync Все кто имеет телефон или планшет знают как это удобно иметь на них почту, которая мгновенно синхронизируется. Как обеспечить безопасность? Обычный подход – либо организовывают туннель, либо дырку в сетевом экране до сервера почты StoneGate SSL - Прямая поддержка, Mail for exchange. Обеспечивает постоянный доступ приложений без участия пользователя _________________________________________________________________________________________________________________________________________
- 22. Проблемы сертифицированных SSL VPN решений • В настоящий момент все решения представлены криптопровайдерами • В правилах пользования всех криптопровайдеров написано – обеспечить анализ встраивания (ПКЗ-2005)…. • Нет реального шлюзового решения – есть только руководства как встроить в разные сервера (Apache) • Нет сертификации ФСТЭК как решения • Требуют доводки решения после встраивания до работоспособного состояния _________________________________________________________________________________________________________________________________________
- 23. Чем решение StoneGate отличается от текущих решений SSL-GOST? • Масштабируемость до любых размеров (до 32 шлюзов) • Поддержка работы приложений (туннель) а не только браузер • Работа на разных платформах с поддержкой приложений • Мощная встроенная система двухфакторной аутентификации • Single Sign On (SSO)&ID Federated • Анализ безопасности подключаемого устройства (security checks) • Нет требования о контроле встраивания ! • Готовое, сертифицированное решение ! _________________________________________________________________________________________________________________________________________