Важность для успеха бизнеса любой компании доступа к корпоративной сети удаленных пользователей трудно переоценить. В данной статье речь пойдет о некоторых способах защиты этих соединений.
С ростом популярности телекоммуникаций и мобильных вычислений растет и значимость технологий удаленного доступа к корпоративной сети. Пользователям, вынужденным работать дома или вне офиса, необходим определенный уровень доступа для эффективного выполнения их работы. Поэтому перед администраторами информационных систем встает задача - обеспечить приемлемый уровень доступа, при этом не нанеся ущерба защите сети.
Защита была предметом особой заботы с тех самых пор, как программное обеспечение удаленного управления стало использоваться в качестве основного метода удаленного доступа. Но с появлением новых технологий, в частности доступа через Internet, организация защиты стала приоритетной.
Обеспечить защиту используемых вами методов удаленного доступа нельзя без знания имеющихся для достижения этих целей возможностей. Администраторы информационных технологий должны отдавать себе отчет в том, что и старые, и новые протоколы и стандарты, а также изменение представлений о потребностях удаленных пользователей могут существенно повлиять на реализацию эффективной политики защиты.
МЕНЯЮЩИЙСЯ ОБРАЗ УДАЛЕННОГО ДОСТУПА
Одна из причин роста озабоченности проблемой защиты связана с растущей популярностью удаленного доступа через Internet. Многие организации отказываются от дорогих коммутируемых каналов в пользу этой более дешевой и гибкой альтернативы.
Конечно, дешевизна - не единственная причина, по которой компании пользуются Internet для удаленного доступа, но она, безусловно, фактор решающий. Исследование, проведенное Forrester Research, показало, что при использовании традиционных средств удаленного доступа годовые затраты на поддержку 2 тыс. пользователей составляют около 3 млн долларов, а в случае пользования Internet они сокращаются до 1,1 млн долларов (см. Рисунок 1).
Компания Forrester Research пришла к выводу, что годовые затраты на поддержку доступа 2 тыс. удаленных пользователей с помощью традиционных средств почти в 2,5 раза больше, чем на организацию доступа по Internet.
Помимо уровня затрат необходимо также учитывать, сколько времени и людских ресурсов требуется для поддержки инфраструктуры удаленного доступа. В зависимости от того, какому числу пользователей нужен удаленный доступ к сети, нагрузка на сотрудников отдела информационных систем может стать слишком большой, так как им придется обслуживать десятки модемов, телефонных линий и серверов удаленного доступа.
Учитывая рост спроса на дополнительные услуги, некоторые провайдеры Internet начинают предлагать компаниям взять на себя организацию для их сотрудников удаленного доступа помимо обычного доступа к Web. В этих случаях сотрудники компании могут позвонить по телефонной линии в местное отделение провайдера Internet, идентифицировать себя и получить допуск к сетевым ресурсам. Возможно, главным достоинством такого подхода является то, что сотрудники отделов информационных систем освобождаются от обслуживания стоек серверов и модемов. Более подробную информацию о возможности независимого сопровождения и предпринимаемых провайдерами мер защиты читатель может найти во врезке "Независимое сопровождение удаленного доступа".
Хотя упоминание в связи с удаленным доступом слова Internet вызывает большую тревогу относительно защиты, чем слово "коммутируемый", оба эти метода ставят одинаковые проблемы безопасности. Поэтому, используете вы традиционный удаленный доступ, предпочитаете применять для этой цели Internet или сочетаете оба этих метода, в любом случае вам необходимо обратить пристальное внимание на такие аспекты защиты, как аутентификация, подтверждение полномочий, контроль доступа, конфиденциальность данных, а также обслуживание и проверка бюджетов пользователей.
Мы обсудим несколько технологий, призванных решить эти проблемы, а также поговорим о том, как они могут помочь в создании надежной защиты при удаленном доступе.
АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ
Вне зависимости от того, используете вы удаленный доступ по телефонным каналам или через Internet, вам необходимо принять меры для максимального снижения угрозы вашей сети. Один из возможных подходов - ограничить удаленный доступ пользователей к сетевым ресурсам.
"Отнюдь не все обращающиеся к сети извне должны получать доступ к ресурсам всей корпорации, - считает Эван Каплан, президент и исполнительный директор компании Aventail, специализирующейся на виртуальных частных сетях (Virtual Private Network, VPN). - Это небезопасно. Вот почему такие вещи, как аутентификация, более важны при работе с Internet, но и при коммутируемом доступе им следует уделять серьезное внимание". Компании могут, к примеру, ограничить доступ удаленных пользователей электронной почтой или, при обращении к определенным ресурсам, предоставить права только на чтение.
Но, вне зависимости от ограничений на доступ для удаленных пользователей, им тем не менее все же необходимо работать с некоторыми ресурсами, и только аутентификация может гарантировать, что зарегистрироваться в системе смогут лишь пользователи с соответствующими полномочиями.
Традиционным и по-прежнему широко используемым методом аутентификации является защита с помощью пароля: связавшись с сервером удаленного доступа, пользователь должен ввести свои имя и пароль. Та же схема применяется и при обращении к серверу абонентов локальной сети; но для тех, кто пользуется удаленным доступом, правила должны быть более жесткими. Наиболее популярные методы реализации защиты с помощью пароля, поддерживаемые большинством серверов удаленного доступа и программами подключения по PPP с вызовом по телефонному номеру, предусматривают использование Password Authentication Protocol (PAP) и Challenge Handshake Authentication Protocol (CHAP).
PAP - это базовый метод аутентификации, при котором клиент посылает имя и пароль пользователя на сервер удаленного доступа, где они сравниваются с информацией, хранящейся в базе данных. Однако, даже если пароли на сервере хранятся в зашифрованном виде, от пользователя к серверу они передаются открытым текстом. CHAP устраняет этот недостаток за счет шифрования передаваемых на сервер паролей.
Часто основную роль в процессе аутентификации играет сервер, поддерживающий Remote Authentication Dial-In User Service (RADIUS). Он позволяет централизованно управлять аутентификацией, определением полномочий и контролем за работой удаленных пользователей. Короче говоря, RADIUS создает единую точку наблюдения и проверки всех удаленных пользователей, а сервер RADIUS разрешает или запрещает пользователю доступ в соответствии с принятыми в данной компании критериями.
Многие серверы RADIUS, такие как Steel-Belted Radius компании Funk Software, поддерживают несколько режимов аутентификации. К примеру, сервер RADIUS может сравнить данные, предоставляемые удаленным пользователем при регистрации, с содержимым локальной базы данных, где хранится информация о пользователях. Или, поскольку многие компании ориентируются на такие службы каталогов, как Novell Directory Services (NDS), или на функции аутентификации операционной системы Windows NT компании Microsoft, серверы RADIUS могут передавать этим серверам регистрационную информацию с целью проверки личности пользователей. Основное преимущество RADIUS состоит в том, что сотрудникам отдела информационных систем приходится обслуживать только одну базу данных с информацией о пользователях.
Серверы RADIUS могут также поддерживать аппаратные ключи, но это уже другой, более высокий уровень аутентификации (мы обсудим его более подробно несколько позже).
Большинство продуктов RADIUS имеют также функции учета, например они хранят журналы, где регистрируются все запросы на аутентификацию и результаты выполнения этих запросов, вплоть до конкретного порта, через который пользователь устанавливал соединение. Подобные функции учета позволяют узнать, кто из пользователей в данный момент имеет соединение с сервером удаленного доступа, а также получить любую информацию о предыдущих сеансах (в том числе об их длительности).
Развитие RADIUS идет параллельно такой разработке в области службы каталогов, как Lightweight Directory Access Protocol (LDAP), стандарта для создания интероперабельных сетевых каталогов. Нейл Хенри, менеджер по системам защиты компании 3Com, сообщил, что его компания в ближайшие полтора года собирается выпустить серверы RADIUS, поддерживающие LDAP.
Еще один протокол, обеспечивающий функции аутентификации, проверку полномочий и учет, - Terminal Access Controller Access Control System, чаще сокращенно именуемый TACACS. Он применялся еще до создания RADIUS, но после появления последнего TACACS находится на вторых ролях, прежде всего потому, что она является собственной технологией компании Cisco Systems.
Сейчас TACACS (обновленный с целью поддержки новых функций) помимо Cisco использует еще ряд производителей. Кроме того, эта технология по-прежнему достаточно надежна для создания единой точки проверки полномочий пользователей и администрирования при удаленном доступе. Тем не менее RADIUS остается доминирующим методом аутентификации.
ЛОКАЛЬНЫЕ И УДАЛЕННЫЕ ПОЛЬЗОВАТЕЛИ: ИЗМЕНЕНИЕ ПРЕДСТАВЛЕНИЙ
В то время как двухэтапная аутентификация, осуществляемая RADIUS и TACACS, вполне достаточна для локальных пользователей, она не всегда обеспечивает адекватную защиту для пользователей удаленных. Проблема в том, что удаленные пользователи, в отличие от их локальных коллег, являются в определенной мере "неизвестными величинами", и, как к таковым, к ним необходимо относиться по-другому.
Допущение, что любой локальный пользователь сети (сообщивший правильные имя и пароль) легитимен, имеет достаточно веские основания. В конце концов, чтобы посторонний человек смог получить подобный уровень доступа, он должен проникнуть в ваш офис незаметно для охраны и найти свободную комнату, где он мог бы попытаться тайком проникнуть в сеть.
При работе с невидимыми удаленными пользователями гарантировать, что только лица, имеющие на то полномочия, смогут получить доступ к вашей сети, становится значительно труднее. Несмотря на постоянные сообщения о ноутбуках, украденных с рабочих столов или в пунктах досмотра в аэропортах, многие разъездные сотрудники продолжают украшать свои экраны "горчичниками" с информацией о том, как получить доступ к корпоративной сети.
Чтобы максимально усложнить неразборчивым в средствах и не имеющим должных полномочий лицам получение информации, необходимой для регистрации и доступа к сетевым ресурсам, некоторые компании ужесточают процедуру регистрации, используя другой вид двухэтапной аутентификации: аутентификацию с помощью аппаратных ключей. В основе этой системы лежит тот же принцип, что и реализованный в банкоматах: "Вы должны иметь и знать нечто подтверждающее ваши полномочия".
При таком подходе пользователи получают аппаратные ключи, выдающие через определенные временные интервалы случайным образом сгенерированные числа. Аппаратные ключи синхронизированы с сервером в офисе компании. Таким образом, при установлении пользователем соединения статический пароль (который хакер может найти методом перебора по орфографическому словарю) у него не запрашивается. Вместо этого пользователь вводит свое имя и число, отображаемое в данный момент аппаратным ключом. Если это число не совпадает с аналогичным числом на сервере, пользователь не сможет войти в сеть.
Помимо синхронизованных по времени аппаратных ключей проверку полномочий удаленного пользователя по типу "запрос/ответ" выполняют и другие системы, и только имеющий соответствующий ключ пользователь может ответить на запрос.
Аутентификацию с помощью ключей предлагают такие компании, как Security Dynamics, чьи ключи ACE/Server и SecurID используются широким кругом корпоративных узлов и поставщиков услуг, а также канадская фирма Crypto-Card, чьи ключи и серверы поддерживают RADIUS и TACACS и работают под управлением операционных систем Windows NT и UNIX.
ЗАЩИТА ВНУТРЕННИХ РЕСУРСОВ
Безусловно, защита при удаленном доступе не ограничивается точкой входа в сеть. Вам также необходимо укрепить безопасность и внутренних ресурсов. В конце концов, самую серьезную угрозу корпоративной сети представляют недовольные сотрудники.
Один из методов защиты внутренних ресурсов предусматривает аутентификацию пользователей при обращении не только к серверам удаленного доступа, но и к любому серверу, расположенному за Remote Access Server (RAS) и брандмауэром. К примеру, если пользователь хочет обратиться к серверу базы данных, последний может потребовать от пользователя идентифицировать себя, прежде чем разрешить ему произвести какую-нибудь транзакцию.
Конечно, подобный способ обеспечения целостности данных при допуске удаленного пользователя во внутреннюю сеть является несколько запутанным и громоздким. Один из выходов в этой ситуации - реализовать защищенную однократную регистрацию, когда вся регистрационная информация о пользователе проверяется один раз при входе в сеть, при этом ему не надо запоминать несколько паролей для различных целей.
Детальное рассмотрение однократной регистрации можно найти в статье Билла Вонга "В поисках собственного Я" в ноябрьском номере журнала LAN за 1997 год, а подробную информацию об идентификации и контроле доступа - в статье Стива Штайнке "Идентификация и криптография" в февральском номере журнала LAN за этот год.
Еще один метод защиты внутренних ресурсов предусматривает создание инфраструктуры с открытыми ключами (Public Key Infrastructure, PKI). PKI позволяет укрепить защиту внутренних ресурсов сети за счет использования пары ключей и цифровых сертификатов. При таком подходе пользователи или сотрудники отдела информационных систем генерируют пару: открытый и личный ключ, а также получают цифровые сертификаты для этих ключей от соответствующего уполномоченного. При обращении к внутренним ресурсам, до того как пользователю будет предоставлен доступ к любым данным, ему придется представить свои "верительные грамоты". Поскольку ключи и сертификаты размещаются на клиенте, эти мандаты продублировать практически невозможно.
Кроме того, PKI предусматривает поддержку списка аннулированных сертификатов (Certificate Revocation List, CRL), т. е. тех, чей срок действия истек, или тех, что были отменены. Если ноутбук украден, администратор должен аннулировать клиентские ключи и сертификат, объявив их недействительными. Более подробную информацию о PKI и о том, как ее создать, см. в статье Аниты Карве "Инфраструктура с открытыми ключами" в декабрьском номере журнала LAN за прошлый год.
НЕМНОГО КОНФИДЕНЦИАЛЬНОСТИ, ПОЖАЛУЙСТА
Хотя для удаленных пользователей надежная аутентификация имеет первостепенное значение, после установления соединения между пользователем и сетью вам придется подумать о целостности передаваемых по нему данных.
Туннелирование - одна из технологий, привлекшая к себе внимание главным образом благодаря растущему интересу к виртуальным частным сетям (Virtual Private Networks, VPN). Эта технология предусматривает инкапсуляцию протокольных блоков PPP, содержащих пакеты практически любого типа (IP, IPX, NetBEUI или AppleTalk), с помощью протокола туннелирования, такого как Point-to-Point Tunneling Protocol (PPTP) или Layer 2 Forwarding (L2F), с последующей упаковкой результата в пакет IP для пересылки в корпоративную сеть. Хотя эти протоколы могут использоваться и при доступе по коммутируемым каналам, чаще всего они применяются при удаленном доступе через Internet, поскольку позволяют создать частный туннель в общедоступной сети (более подробную информацию см. во врезке "Путь через туннели").
По словам Гордона Бернса, менеджера по продуктам компании Shiva, одного из пионеров рынка систем удаленного доступа, в случае туннеля через Internet компании могут выбрать реализацию VPN как зависящую или не зависящую от поставщика услуг. "В провайдеро-зависимой модели туннель и шифрование организуются между точкой доступа провайдера Internet и локальной сетью; в провайдеро-независимой модели туннель и шифрование выполняются из конца в конец, от клиента через точку доступа в сеть", - пояснил он (см. Рисунок 2).
При организации частной виртуальной сети (VPN) для целей удаленного доступа компании могут или воспользоваться услугами провайдера, предоставляющего защищенный туннель между локальной точкой доступа и сетью, или дать каждому клиенту возможность создавать туннелированное соединение из конца в конец, вне зависимости от его местонахождения.
Ввиду того, что вопросы готовности и производительности являются ключевыми при удаленном доступе, возможно, лучшее решение в данной ситуации - работа с провайдером, поскольку последний сможет гарантировать уровень услуг. Если вы хотите, чтобы каждый клиент мог организовать соединение по виртуальной частной сети, отказ от услуг поставщика имеет больший смысл, поскольку в этом случае пользователь может обратиться на любую обычную точку доступа для создания туннеля VPN к корпоративной сети.
Еще один протокол для организации защищенных коммуникаций через Internet - IPSecurity. Этот протокол - конкурент PPTP и L2F, хотя это сравнение не вполне сопоставимых величин. Вместо туннелирования IPSecurity - пакет протоколов, расширяющих IP, - осуществляет аутентификацию и шифрование данных. Однако, поскольку он проверяет целостность данных внутри пакета во время шифрования, IPSecurity позволяет обеспечить более высокую степень защиты, чем протоколы туннелирования. Описание IPSecurity можно найти на узле Web по адресу: www.networkmagazine.com/tutors/9802tut.htm.
Иной метод поддержки шифрования и аутентификации в виртуальных частных сетях предлагает Socks, стандарт IETF на использование посредника на уровне канала. Как отметил Каплан, компания которого реализовала данную технологию в своей частной виртуальной сети, Socks направляет весь трафик на отдельный порт и определяет полномочия доступа в корпоративную сеть всех пользователей. Протокол Socks действует на пятом уровне модели OSI и может работать с туннелями и IPSecurity. Этот протокол требует, чтобы на каждом клиенте было установлено программное обеспечение для передачи данных на сервер Socks на предмет аутентификации. Кроме того, данные должны шифроваться как на клиенте, так и на сервере.
Благодаря поддержке целого ряда схем шифрования, таких как Kerberos, Secure Sockets Layer (SSL), CHAP и RADIUS, Socks отличается большей гибкостью, чем протоколы туннелирования.
СВЕТЛОЕ БУДУЩЕЕ УДАЛЕННОГО ДОСТУПА
Возросший объем удаленного доступа через Internet и появление все большего числа различных протоколов и стандартов, предназначенных для решения специфических задач защиты, дает компаниям, работающим в области информационных технологий, более широкие возможности для удовлетворения требований своих пользователей к удаленному доступу. Кроме того, производители начинают разрабатывать серверы удаленного доступа, объединяющие доступ по коммутируемым каналам и Internet на одной платформе, обеспечивая компаниям небывалую доселе гибкость в обеспечении удаленного доступа. Добавьте к этому тенденцию обращения к услугам сторонних организаций, и будущее удаленного доступа, в частности с точки зрения рентабельности, представляется вполне безоблачным.
Конечно, разрешив пользователям входить в сеть, откуда им заблагорассудится, ваши специалисты по информационным технологиям должны позаботиться о необходимых мерах защиты. Осознание этого риска, а также понимание различных возможностей обеспечения безопасности ресурсов вашей компании помогут реализовать защищенный удаленный доступ, который соответствует требованиям ваших пользователей.
Анита Карве - помощник редактора Network Magazine. Вы можете связаться с ней по адресу: akarve@mfi.com.
Независимое сопровождение удаленного доступа
Провайдеры Internet расширяют услуги
Сейчас многие компании обращаются за услугами к другим фирмам, к примеру, для размещения приложений электронной коммерции на их серверах. И вполне вероятно, что следующим видом услуг, которые возьмут на себя независимые компании, станет удаленный доступ.
Традиционный удаленный доступ через коммутируемые каналы требует от многих компаний значительных финансовых затрат. Его организация предполагает использование не только серверов удаленного доступа, модемов и телефонных линий, но и привлечения специалистов для управления оборудованием и обеспечения работы служб (и эти фиксированные затраты не учитывают абонентскую и повременную плату за телефонные услуги).
Последнее время многие компании предпочитают переложить хотя бы часть этого бремени на поставщиков услуг. "Провайдеры Internet уже имеют соответствующую инфраструктуру, поэтому все, в чем заинтересовано предприятие, может предложить провайдер", - считает Джо Райан, вице-президент компании Funk Software.
Чтобы обратить спрос на дополнительные услуги себе на благо, традиционные провайдеры Internet должны заняться рекламой своей инфраструктуры как средства организации удаленного доступа.
Одним из таких провайдеров является компания Concentric Network, чья служба RemoteLink была организована в США и Канаде летом 1997 года, а услуги на международном уровне стали предоставляться с 1998 года.
Используя эту службу, пользователи могут набрать местный номер более чем 40 тыс. коммутаторов в Северной Америке. После введения пользователем всех необходимых для регистрации в сети данных, Concentric передает их на корпоративный сервер RADIUS данной компании. Вся аутентификация осуществляется на корпоративном узле, а не на узле провайдера. Как отметил Джим Хаитала, директор службы виртуальных частных сетей компании Concentric, "последняя ситуация неприятна тем, что, во-первых, она чревата изъянами, а во-вторых, эта работа оказывается чересчур накладной для провайдера".
Служба RemoteLink компании Concentric использует технологию туннелирования разработки Bay Networks. Этот метод позволяет упаковывать пакеты IP или IPX в новый пакет IP для доставки на узел назначения. Concentric планирует поддерживать протокол туннелирования второго уровня после его усовершенствования в 1998 году. RemoteLink обеспечивает и другие функции защиты, в том числе Data Encryption Standard (DES).
Хаитала отметил, что сейчас этой службой пользуются компании самого разного размера, причем она удовлетворяет практически всем требованиям к удаленному доступу, за исключением небольшой их части. "Затраты - это важный фактор, и многие компании не хотят иметь дело с серверами удаленного доступа. Поэтому вместо того, чтобы заставлять свои отделы информационных систем заниматься стойками оборудования для коммутируемого доступа, они арендуют линии T-1 и в остальном полагаются на нас", - говорит он.
Компания GTE Internetworking, которая летом прошлого года приобрела собственного сервис-провайдера, фирму BBN, с января предлагает услуги удаленного доступа.
DiaLinx обеспечивает защищенный доступ через 400 точек в США и значительно большее их число в других странах мира.
Услуги удаленного доступа также предоставляют, к примеру, компании UUNET и AT&T WorldNet.
Обращение за услугами удаленного доступа к сторонней компании пока не получило широкого распространения, но, по мере совершенствования протокола туннелирования и шифрования в IP-сетях, все большее число компаний станет рассматривать Internet как серьезное средство для связи с удаленными пользователями.
ПУТЬ ЧЕРЕЗ ТУННЕЛИ
PPTP и L2F
Идея использования Internet для предоставления удаленным пользователям доступа к корпоративной сети буквально витала в воздухе; доступ по Internet стоит недорого и дает возможность пользователям обращаться к сетевым ресурсам вне зависимости от их местонахождения. До сих пор открытая природа Internet заставляла руководителей компании с опаской относиться к желанию сотрудников использовать сеть для пересылки и получения критически важной информации.
Появление туннелирования - метода создания защищенных частных соединений между узлами - позволяет организациям использовать Internet в качестве виртуальной частной сети (Virtual Private Network, VPN).
Туннелирование предполагает инкапсулирование таких протоколов, как IPX, IP и NetBEUI, и защищенную транспортировку их пакетов через Internet. В настоящее время данная технология может быть реализована несколькими способами. Microsoft, 3Com и несколько других производителей систем удаленного доступа поддерживают Point-to-Point Tunneling Protocol, или PPTP. Этот протокол представляет собой расширение PPP с поддержкой шифрования данных. Он является частью служб удаленного доступа, встроенных в Windows NT 4.0, и компонентом Dial-Up Networking 1.2 в операционной системе Windows 95.
Еще один протокол туннелирования - Layer 2 Forwarding (L2F), который Cisco Systems и другие производители систем удаленного доступа поддерживают в своих маршрутизаторах и серверах удаленного доступа. Cisco, к примеру, использует его в своей Internetwork Operating System (IOS), устанавливаемой на маршрутизаторах компании.
Чтобы не заставлять заказчиков и поставщиков услуг выбирать между двумя протоколами, компании, придерживающиеся различных подходов к туннелированию, оставили в стороне свои разногласия и разработали спецификации на компромиссное решение, получившее название Layer 2 Tunneling Protocol (L2TP).
L2TP, который, как предполагают отраслевые эксперты, получит широкое распространение к лету 1998 года, объединяет функции как PPTP, так и L2F. Кроме того, он предусматривает поддержку IP Security и двухэтапной аутентификации, при которой личность пользователя проверяется дважды: сначала провайдером Internet, а затем корпоративным сервером.
Сейчас L2TP имеет только статус Internet Draft, но, несмотря на это, список производителей, поддерживающих этот протокол, расширяется чуть ли не ежедневно. Ознакомиться с различными документами, входящими в состав L2TP Internet Draft, можно на неофициальном Web-узле L2TP по адресу: www.masinter.net/~l2tp.
Ресурсы Internet
Техническая информация по защите удаленного доступа: www.shiva.com/remote/prodinfo/security
Отчет о реализации защищенных виртуальных частных сетей: www.securitydynamics.com/solutions/products/whitepapers/vpn.html
Обзор RADIUS и ссылки на различные документы RFC: www.funk.com/radius