Безопасность и Internet - статьи



         

Вопросы обеспечения безопасности - часть 7


Оптимальное решение этих проблем видится в использовании технологии защищенных частных виртуальных сетей (VPN):

  • Внедрение технологии VPN для обеспечения конфиденциальности и целостности информации, циркулирующей в беспроводной сети, в соответствии с требованиями российского законодательства и руководящих документов ФАПСИ и Гостехкомиссии.
  • Производители оборудования при построении беспроводных сетей с максимальным уровнем защищенности рекомендуют использовать VPN решения на базе семейства протоколов IPSec: например, VPN решения российских производителей органично вписываются в архитектуру SAFE - архитектуру защищенных сетей, построенных на базе оборудования Cisco Systems.

    Есть еще один аргумент в пользу использования технологии VPN для защиты информации, циркулирующей в беспроводной сети. Создав на базе VPN продуктов внешнюю защитную оболочку, собственник приобретает уверенность в том, что он защищен не только от известных уязвимостей встроенных протоколов защиты беспроводных сетей, но и от тех, которые могут появиться в дальнейшем. И самое главное - использование VPN решения на базе протокола IPSec российских производителей позволяет придать всей системе защиты легитимность, поскольку появляется возможность использовать сертифицированные ФАПСИ и Гостехкомиссией России продукты.

    Не смотря на то, что сама по себе технология защищенных частных виртуальных сетей способна обеспечить жесткую авторизацию пользователя по его цифровому сертификату формата Х.509, ее не следует рассматривать как альтернативу решениям на базе протокола 802.1х. Это взаимодополняющие решения. Поскольку средства VPN обеспечивают защиту на сетевом уровне, а использование решений на базе протокола 802.1х позволяет предотвратить несанкционированный доступ к беспроводной сети на более раннем этапе. Подобное решение позволяет построить многоэшелонированную защиту: авторизуя пользователей по протоколу 802.1х мы убеждаемся, что имеем дело с легальным пользователем нашей беспроводной сети, а реализуя дополнительную авторизацию средствами VPN мы убеждаемся, что допускаем к работе с конфиденциальными ресурсами пользователей, которые имеют на это право. Кроме этого, использование функций межсетевого экранирования на устройстве VPN-шлюз, позволит нам назначать различные права доступа внутри группы пользователей, имеющих доступ к конфиденциальной информации. Необходимо также заметить, что сам протокол 802.1х имеет ряд уязвимостей к атакам типа "man-in-the-middle" и "session hijacking"7. Поэтому, не лишним будет повторить: использование технологии VPN позволяет создать внешнюю защитную оболочку беспроводной сети передачи данных.

    Как всегда, вопрос обеспечения требуемого уровня безопасности и вопрос удобства и простоты использования находятся на разных чашах весов. Посмотрим, что является "платой" в случае использования технологии VPN:




    Содержание  Назад  Вперед