VII Международная студенческая научная конференция Студенческий научный форум - 2015

В современном обществе сложно даже представить, как можно работать без удаленного доступа (УД) к локальной сети.

Мы соединяемся с сетью организации из гостиницы, из дома, или в каких-то экстренных случаях понадобится получить доступ к своему корпоративному аккаунту или компьютеру.

В первую очередь, УД к локальной сети применяется администраторами. Часто, управление сетевым оборудованием (серверы, маршрутизаторы), компьютерами можно организовать дистанционно, с помощью специальных аппаратных или программных решений. Не всегда это удобно, но зачастую выгодно: можно снизить расходы на обслуживание, позволяет экономить время), Иногда это необходимо (в случае обслуживания оборудования филиала организации – в таком случае администратору не требуется выезжать на место для проведения обслуживания или устранения возникших проблем [1].

Кроме того, может потребоваться удаленная работа мобильным сотрудникам, часто бывающим в командировках, рекламным агентам, специалистам отдела маркетинга и продаж с предоставлением им ресурсов локальной сети предприятия из любого места, где есть доступ в Интернет [2].

Также удаленный доступ применяется с целью сокращения затрат на содержание производственных площадей, доступ к локальной сети предприятия можно разными способами.

Чаще всего применяют самую доступную, но не безопасную среду – сеть Интернет. Очевидно – никакая компания не будет предоставлять все свои сетевые ресурсы в сеть общего пользования, но в этом нет нужды: при помощи технологии VPN и туннелирования можно обойти указанную проблему, используя глобальную сеть как средство доставки и передавая по ней шифрованную информацию.

Когда технология удаленного доступа начала распространяться, больше всего ей заинтересовались компании, работа которых связана с частыми выездами сотрудников на территорию клиентов (аудиторы, консультанты, интеграторы),а сейчас – многие организации рассматривают возможность сократить свои расходы благодаря удаленной работе сотрудников.

Но и злоумышленники могут воспользоваться удобством удаленного доступа, поэтому нужно понимать и предугадывать их действия, чтобы быть защищенным от угроз [3].

Риски удаленного доступа:

1. Риск воровства данных – информация может быть перехвачена;

2. Риски анонимности;

3. Упрощенные методы аутентификации;

4. Сложно применить какую-то конкретную политику безопасности;

5. Физический неконтролируемый доступ к удаленным компьютерам – можно установить шпионское ПО;

6. Пользователь может быть доверенным а на устройстве может быть шпионское ПО;

7. Доступ с неуправляемых удаленных устройств;

8. Важная информация может случайно или умышленно остаться на чужом устройстве;

Однако, все эти риски можно свести к минимуму, используя защищенные протоколы [4].

Организация УД к корпоративным информационным ресурсам, как правило, связана с использованием виртуальных частных сетей (Virtual Private Network – VPN) на основе протоколов IPSec и SSL (рисунок 1).

Рисунок 1 – Сравнение IPSec и SSL

VPN обладает свойствами, характерными для выделенной линии, однако развертывается она в пределах общедоступной сети, например Интернета. С помощью туннелирования, пакеты данных транслируются через общедоступную сеть как по обычному соединению «точка-точка». Между каждой парой «отправитель-получатель данных» устанавливается так называемый туннель – безопасное виртуальное (логическое) соединение, позволяющее встраивать (инкапсулировать) данные одного протокола в пакеты другого [5].

Схема соединения для связи проста: пользователь выходит в Интернет через точку доступа (Wi-Fi или WiMAX), после чего активирует VPN-соединение с сервером предприятия. Созданный канал шифруется, происходит аутентификация абонента, и в случае подтверждения подлиннсти и прав доступа предоставляется доступ требуемого уровня. При этом локальный компьютер получает внутрисетевой адрес и становится частью локальной сети.

Очень важным свойством туннелей является возможность дифференциации различных типов трафика и назначения им необходимых приоритетов обслуживания. В простейшем случае при помощи VPN соединяют удаленных пользователей или удаленный офис/филиал с сетью предприятия [6].

Туннелирование также позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. Наиболее распространенный метод создания туннелей VPN – инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т. д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Каналы VPN защищены специализированными алгоритмами шифрования, созданными на базе стандартов протокола безопасности Internet Protocol Security (IPSec). Этот протокол обеспечивает безопасность на сетевом уровне и требует поддержки стандарта IPSec от устройств по обе стороны соединения.

Использование IPSec VPN у пользователя вызывает такое ощущение, будто он находится у себя на работе: работа ведется с теми же сетевыми программами, что и у себя в корпоративном компьютере, а если использовать SSL VPN понадобится браузер, через который будет осуществляться доступ к системе организации.

В первом случае, сотрудник, как правило, будет использовать свой корпоративный ноутбук и сеть, которая позволит обращаться к портам VPN-шлюза, а во втором – надо будет только найти устройство с выходом в Интернет [7].

По большому счёту, обе технологии являются дополнением друг друга, нежели конкурируют, и многие компании используют их совместно.

Появление сервиса удаленного доступа, с точки зрения информационной безопасности тянет за собой появление новых рисков, которые необходимо будет минимизировать внедрением как организационных, так и технических мер.

Рассмотрим наиболее популярные механизмы атаки на ресурсы компании посредством удаленного доступа:

1. Нацеленные непосредственно на корпоративную сеть компании.

2. Нацеленные на пользователя системы удаленного доступа для дальнейшего проникновения в корпоративную сеть;

Кража данных. Внутренний сотрудник или внешнее лицо, которое каким-то об разом смогло получить доступ к корпоративной сети через систему удаленного доступа, может нанести серьезный ущерб своими действиями. Для минимизации подобного риска необходимо разграничение уровней доступа для удаленных пользователей. Каждая группа пользователей должна иметь доступ только к тем ресурсам, которые реально требуются для уда- ленной работы (принцип «минимальных привилегий»). Компании обычно закрепляют такие правила предоставления удаленного доступа в формализованной процедуре. Ну и конечно, защитой от такого сценария должен стать весь набор мер информационной безопасности, принятых в компании.

Перехват паролей пользователей. В большинстве случаев, для получения доступа к сети, пользователь вводит имя своей учетной записи и пароль. Эти данные являются главной целью злоумышленников при применении технологии SSL VPN.

Самым простым и доступным способом получения такой информации является использование программ типа «кейлоггер», перехватывающих все введенные пользователями строки, а также осуществление фишинговых атак на пользователя.

В первом случае пароль и имя учетной записи сотрудника могут быть похищены, например, в кафе, где он воспользовался бесплатной точкой доступа или общественным компьютером для доступа в корпоративную сеть.

Во втором случае злоумышленники запускают web-сервер со страницей «Смена пароля», дизайн которой идентичен страницам вашего VPN-шлюза. Сотрудникам рассылается письмо от имени ИТ-отдела с просьбой пройти по ссылке и сменить пароль. Пользователи сами «сдают» свои пароли, вводя их на странице подставного ресурса. Для защиты от реализации подобного сценария компании:

1. Внедряют уже упоминавшуюся двухфакторную аутентификацию для того, чтобы перехваченным паролем злоумышленник уже не смог воспользоваться через короткий промежуток времени;

2. Внедряют виртуальную клавиатуру на странице аутентификации SSL VPN-шлюза;

3. Настраивают VPN-шлюзы таким образом, чтобы они предъявляли браузеру

4. Как показали последние несколько лет, основной упор злоумышленники делают именно на широкий спектр возможностей пользователя электронные сертификаты, подтверждая свою подлинность;

5. Проводят регулярное обучение сотрудников, которые должны уметь распознавать попытки обмана и угрозы информационной безопасности.

Вирусная атака через ноутбук пользователя. В случае применения технологий IPSec VPN специалистам по информационной безопасности приходится всерьез рассматривать и возможность проникновения вирусов в сеть через систему удаленного доступа. Ведь пользователь не всегда использует свой корпоративный ноутбук для работы [8].

Для защиты от такой угрозы очень часто используют клиентское ПО для удаленного VPN-доступа, которое не позволяет подключиться к корпоративной сети, например, если отключен персональный меж- сетевой экран или антивирус (что, как правило, является характерным признаком активности компьютерного вируса). В подобных случаях пользователю на помощь приходит SSL VPN, который позволяет ему получить доступ, например, к электронной почте через web-сервис, но в то же время существенно затруднит распространение вируса. Стоит отметить, что и шлюзы SSL VPN можно сконфигурировать таким образом, что специальный Java-апплет (или ActiveX-компонент) будет загружаться в браузер клиента и выполнять проверки безопасности, но этой функцией не всегда пользуются, поскольку она создает ограничения, которые могут быть не приемлемы для бизнеса.

Рассмотрев возможные сценарии атак на систему УД и меры по защите, можно прийти к выводу, что обеспечение безопасности удаленного доступа заключается не только во внедрении и грамотной настройке какого-либо современного VPN-решения, но и в реализации компанией необходимых процедур и регулярном обучении сотрудников, причем как технических специалистов, так и обычных пользователей.

Библиографический список

1. С. В. Глушаков. И.О. Космачевский. «Компьютеры, программы, сети». 2009 г., 458 с.

2. Кулаков Ю. «Компьютерные сети» Киев: 2009 г., 600 с.

3. Джон Парк, Стив Маккей, Эдвин Райт. «Ппередача данных в системах контроля и управления». 2007 г., 208 с.

4. Джеймс Трулав. «Сети. Технологии, прокладка, обслуживание». 2009 г.150 с.

5. Марк Миллер. «Удаленный доступ. Просто, как никогда»,2013 г., 95 с.

6. Ру-Док [Электронный ресурс] // Удаленный доступ. URL: www.rudoc.ru

7. Инфосити [Электронный ресурс] // «Администрирование удаленного доступа к сети Windows». URL: www.infocity.kiev.ua

8. Глоссарий [Электронный ресурс] // Удаленный доступ. URL: http://www.glossary.ru/cgi-bin/gl_sch2.cgi?RTkgrltt:p!kuxyzv

Код для цитирования: Скопировать