Alexey Andriyashin
consultant de securitate
Tehnologii de software Check Point
Biroul de acasă
Un angajat care lucrează la distanță prin intermediul internetului este mai vulnerabil decât un utilizator local și reprezintă o amenințare potențială pentru organizația sa. Prin urmare, ar trebui să se acorde o atenție deosebită securității utilizatorilor de la distanță.
Principiile de bază ale securității informațiilor
Tehnologii pentru construirea unui sistem de acces la distanță
Legătura cheie în construirea unui sistem de acces la distanță este tehnologia VPN. Atunci când se creează canale securizate, cele mai des utilizate sunt VPN-urile IPsecVPN și SSL (TLS). Aceste abordări au diferențe semnificative, ceea ce provoacă adesea controverse, care dintre tehnologiile este preferabilă. Vă sugerez să examinați pe scurt ceea ce distinge aceste două tehnologii.
Protocoalele IPsec operează la nivel de rețea, în timp ce SSL și TLS funcționează la nivel de transport. Încă nu mai amintiți construirea modelului de rețea OSI? La rândul lor, protocoalele IPsec sunt împărțite în două clase: protocolul de schimb de chei (IKE) și protocoalele pentru protecția datelor transmise (ESP și AH). Când lucrați printr-un paravan de protecție, este important să configurați corect regulile de filtrare pentru a sări peste pachetele de protocoale AH și ESP. Pentru AH, ID-ul protocolului este 51, iar ESP are un ID protocol de 50 (foarte des conceptele "protocol ID" și "port number" sunt confundate). De asemenea, este important să nu uitați să configurați o regulă care să asigure funcționarea protocolului IKE. Pentru aceasta, deschideți portul UDP 500.
Pentru a lucra SSL VPN protocolul necesită mult mai puțină acțiune atunci când instituirea normelor privind firewall-ul, deoarece SSL funcționează la stratul de transport, și este utilizat cel mai frecvent TCP 443 (protocolul HTTPS), portul .Very de multe ori acest port este deschis în mod implicit, din cauza SSL VPN utilizează această În acele cazuri în care nu este posibilă personalizarea regulilor de paravan de protecție. Această situație este tipică pentru spațiile închiriate, de exemplu într-un mare centru comercial sau de afaceri. O altă caracteristică a tehnologiei SSL VPN, care uneori poate fi considerată un avantaj, este lipsa unui client VPN preinstalat la locul de muncă. Datorită faptului că aproape toate browserele de Internet suportă HTTPS, această tehnologie a devenit foarte populară. Atunci când se utilizează acces la distanță, se utilizează un gateway SSL VPN, prin intermediul căruia utilizatorul accesează resursele necesare.
Caracteristici ale dezvoltării tehnologiilor VPN în Rusia
Dacă vorbim despre țara noastră, atunci poate fi urmărită următoarea tendință. IPsec VPN este utilizat în cazurile în care este necesar să se utilizeze un predefinit VPN client (în acest caz, utilizatorul este atașat la laptop, dar un set complet de instrumente de care avea nevoie). Această abordare necesită măsuri suplimentare de securitate: criptare completă de disc, antivirus, utilizarea, controlul porturilor periferice, un mijloc de identificare a utilizatorului și a altor măsuri. Puteți obține economii semnificative dacă toate aceste mecanisme sunt implementate într-un singur client software.
Dacă vorbim despre țara noastră, atunci poate fi urmărită următoarea tendință. IPsec VPN este utilizat în cazurile în care este necesar să se utilizeze un predefinit VPN client (în acest caz, utilizatorul este atașat la laptop, dar un set complet de instrumente de care avea nevoie).
Există o abordare a organizării conectării utilizatorilor la distanță, în care utilizatorului i se oferă un gateway VPN hardware ieftin. Această metodă este lipsită de mobilitate, dar este justificată în organizarea de locuri de muncă permanente la domiciliu (homeoffice). Dar fără un antivirus controlat, și aici, așa cum știți, nu se poate face.
Autentificarea datelor
Autentificarea implică verificarea informațiilor primite în timpul fazei de identificare prin introducerea unui cod PIN, date biometrice, parolă sau OTP (parolă unică). Autentificarea poate utiliza certificate digitale emise de centrul de autentificare internă sau prin utilizarea unei infrastructuri externe PKI, precum și a unor instrumente de autentificare.
Foarte des există o situație în care foștii angajați ai companiei au acces la resurse de la distanță pentru o perioadă (uneori foarte lungă). Și unii nu susțin nici măcar această posibilitate, deși există. Nu arata incidentul de la aeroport si consecintele asociate cu acesta. O astfel de problemă serioasă poate apărea atunci când nu există un sistem centralizat de gestionare a securității informațiilor. Indirect despre acest lucru se pot spune următoarele fapte:
- utilizatorii stochează în memorie 5-6 parole pentru accesarea diferitelor resurse;
- să conecteze contul unui nou angajat și să deconecteze conturile angajatului concediat durează mai mult de o zi;
- Accesul la informații confidențiale nu este limitat;
- Acțiunile angajaților care au acces la informații sensibile nu sunt monitorizate.
Dacă este îndeplinită cel puțin una dintre aceste condiții, compania are probleme serioase cu securitatea informațiilor în general.
Astfel, oferind acces la distanță angajaților numai în cazul în care sistemul de management al securitatii centralizat a introdus, există o matrice de acces utilizatorului la resursele alocate celor responsabili pentru răspândirea oricăror informații. În general, sarcinile de bază ale securității informațiilor sunt rezolvate. În acest caz, sarcina de acces la distanță va fi doar o problemă privată, care nu necesită restructurarea întregului sistem informatic al companiei.
Trimiteți-le prietenilor: