Безопасность и Internet - статьи

       

Настройка основных параметров


Первое столкновение пользователя с VPN происходит при инсталляции соответствующего ПО. Как правило, мы не оцениваем процедуры установки клиентского ПО. Однако, поскольку в данном случае инсталляция обычно производится удаленно, нам захотелось посмотреть, как это происходит. Мы оценивали, как в каждом "нашем" продукте осуществляется настройка процедуры аутентификации VPN-клиента, конфигурирование клиентской программы и как устанавливаются правила защиты.

Одна из сложностей при настройке VPN-клиента связана с передачей ключей шифрования. Использовать для этого процедуру рассылки сертификатов общедоступного ключа, которые обеспечивают наилучшую защиту, - задача долгая и громоздкая. Кроме того, частная клиентская половина общедоступного ключа не передается по сети, она должна быть создана непосредственно на ПК клиента и заблокирована там специальным паролем.

Ни один из производителей не предложил волшебного способа передачи информации о ключе. Почти во всех протестированных продуктах используется довольно простой и не слишком защищенный метод аутентификации, а именно: каждому клиенту назначается имя пользователя и пароль. Однако во многих дополнительно поддерживается и цифровая сертификация общедоступных ключей, которая базируется либо на стандартных, либо на своих собственных наборах сертификатов для присвоения полномочий.

Компания TimeStep в своем продукте Permit Enterprise наиболее серьезно подошла к решению проблемы цифровой сертификации и построению схемы присвоения полномочий. В комплект ПО для управления предприятием она встроила средство выдачи сертификатов компании Entrust и справочник шифрования по стандарту X.500. Их комбинация позволяет масштабировать функции выдачи сертификатов для присвоения полномочий, используя специальный каталог базы данных.

Построение целостной системы для организации, управления, защиты и аннулирования цифровых сертификатов означает создание инфраструктуры общедоступного ключа (public-key infrastructure, PKI). Тут следует говорить именно об инфраструктуре, так как процедура инсталляции PKI может быть столь же сложна, как и построение любой другой части вашей сетевой структуры. Для корректной установки PKI необходимо, чтобы сетевой администратор и администратор безопасности совместно определили весь круг правил и процедур, необходимых для идентификации пользователей сети. Правильная организация PKI - дело весьма сложное. Пожалуй, изо всех рассматриваемых в этом обзоре компаний с ним удалось справиться только TimeStep: лишь в продукте Permit Enterprise поддержка PKI была заложена с самого начала его создания и не выглядела "заплаткой".

Процедура задания правил защиты и конфигурации сети. Попроще, чем настройка ключей защиты, поскольку одно и то же правило обычно распространяется на всю группу пользователей. В четырех продуктах - F-Secure VPN (Data Fellows), RiverWorks Enterprise VPN (Indus River), VPN Gateway Plus (Intel) и VPNWare (VPNet) информация о правилах защиты загружается в ПК клиента по сети. Во всех остальных эта задача решена более традиционно. Вы должны подготовить специальный комплект для инсталляции, состоящий из предназначенных для определенной сети файлов инициализации и изображений, поставляемых производителем. Как только эти комплекты розданы, конечные пользователи получают информацию о корпоративных правилах одновременно с установкой клиентского ПО.

А вот продукты VPN Gateway Plus и VPNWare автоматически загружают клиенту информацию о его правилах защиты в процессе инсталляции, что позволяет тут же определить правила защиты данных в сети.

В F-Secure VPN и RiverWorks эта функция получила дальнейшее развитие: после того как клиент заканчивает начальное конфигурирование, он автоматически получает от управляющего сервера информацию обо всех обновлениях в системе правил сети.

Если вы используете весь комплект ПО Data Fellows, включая антивирусную программу и инструментарий для шифрования файлов, модуль управления правилами координирует посылку разных обновлений, в том числе сигнатур вирусов и применяемых правил. Элегантное решение, хотя оно работает только в среде Windows.

В ПО RiverWorks компании Indus River передача правил клиенту организована еще более изощренно и сложно: на единой контрольной панели управления, размещенной на экране ПК конечного пользователя, отображаются параметры доступа в сеть по коммутируемой линии и информация, необходимая для VPN-аутентификации.

River Pilot - компонент ПО RiverWorks - вносит в данные VPN-клиента все телефонные номера корпоративного поставщика Internet-услуг, коды и правила доступа. Когда пользователь дает команду на соединение, ПО клиента, используя локальную информацию о телефонных номерах доступа, дозванивается до Internet-провайдера и обеспечивает пользователю любой тип связи, от тонального вызова до шифрованного VPN-соединения.

Сетевой администратор проверяет буквально все аспекты соединения: и разрешено ли использовать номер службы 800, и какой поставщик Internet-услуг является предпочтительным в каждом городе - вплоть до того, какие конечные пользователи подключены к корпоративной сети. Эта информация об установленных правилах вместе с перепроверенным списком номеров дозвона загружается на клиенты при подключении. В некоторых случаях, например при развертывании большой сети VPN, эти заложенные в Indus River возможности дают явные преимущества. Например, для организации, имеющей множество поставщиков Internet-услуг, которая редко связывается с филиалами и штаб-квартирой по коммутируемому каналу и нечасто использует номер аварийной службы 800 (т. е. соединения, управляемые с центральной консоли корпоративной сети), River Pilot явно сократит затраты на поддержку, одновременно улучшив управление.

У всех других протестированных продуктов ПО шифрования является дополнительной к Windows сетевой службой. Их производители считают, что пользователь уже настроил сетевое соединение либо через ЛВС, либо по коммутируемой линии связи.

Еще одно свойство, выделяющее некоторые из протестированных продуктов, - возможность блокировки правил. После загрузки информации о правилах и конфигурации некоторые продукты, например VPN Gateway Plus (Intel) и VPN-1 Gateway (Check Point Software), позволяют заблокировать эти данные таким образом, что клиент не может изменить их. RiverWorks (Indus River), VPN Concentrator Series (Altiga Networks) и Security Management Server (Lucent) работают только в этом режиме. А вот Ravlin 7100 (RedCreek) и F-Secure VPN+ 4.2 (Data Fellows) в любое время полностью контролируют работу пользователя.

Какой из подходов к обеспечению безопасности лучше - зависит от рабочей среды. К сожалению, пока нет такого продукта, который один удовлетворял бы всем потребностям рынка. Так что у вас всегда есть возможность выбирать между полной свободой и полным контролем за каждым из клиентов.



Содержание раздела