Чтобы защитить свою сеть и все ее клиентские системы, администратор должен решить сложную задачу - организовать службу удаленного управления безопасностью.
Сегодня, в пору расцвета телекоммуникаций и Internet, границы корпоративной рабочей среды раздвигаются далеко за пределы традиционного периметра, охватывая домашние ПК и личные ноутбуки сотрудников. Однако этот прогресс несет с собой новые проблемы, связанные с корпоративной безопасностью. К их числу относится, например, использование удаленными клиентами неразрешенного прикладного программного обеспечения, неизвестных конфигураций домашней сети и подключаемых к ней устройств, несанкционированных методов управления паролями и бюджетами.
Администратор сети должен быть знаком с особенностями обеспечения безопасности систем, подключающихся в удаленном режиме, и систем, с которыми они взаимодействуют в локальных сегментах сети. Мобильные пользователи могут входить в сторонние сети, создавать дополнительные бюджеты с административными полномочиями и даже по своему усмотрению прекращать или приостанавливать действие корпоративной политики безопасности.
Защита мобильных систем - задача не из легких. Многие компании слишком небрежно настраивают конфигурации своих виртуальных частных сетей (Virtual Private Network, VPN), не обеспечивают надлежащий контроль входящего и исходящего трафика в корпоративных шлюзах (не говоря уже об антивирусной защите) - и в итоге сети оказываются открытыми для внешних атак. Чтобы противостоять этим угрозам, необходимо надежное решение удаленного управления защитой. В этой статье рассказывается о том, из чего должна складываться эффективная стратегия удаленного управления безопасностью, как ее реализовать и какую роль играет централизация управления в обеспечении защиты сети и ее удаленных клиентов.
ЭЛЕМЕНТЫ КОНСТРУКЦИИ
Границы корпоративной среды подвержены постоянным колебаниям - конфигурация корпоративной сети изменяется за счет подключения и отключения удаленных клиентов. Чтобы защитить этот непрерывно смещающийся периметр, данные необходимо обезопасить в точке отправки, во время передачи и в пункте назначения. Поскольку пользователи получают основную массу данных от корпоративных серверов приложений, источниками данных будем считать именно такие серверы. Согласно этому сценарию, основной поток информации проходит через Internet или телефонную сеть от корпоративных серверов приложений к мобильным клиентам.
Наиболее распространенные методы защиты данных на упомянутых трех участках связаны с использованием удаленных клиентских межсетевых экранов, VPN, антивирусных программ и средств шифрования хранимых файлов. Программные межсетевые экраны клиентских систем, называемые также персональными межсетевыми экранами, при правильном применении помогают оградить автономную среду мобильного пользователя от сетевых атак. (Подробнее об этом читайте в статье "Межсетевые экраны на защите личной жизни" в февральском номере LAN за этот год.)
VPN шифруют данные, проходящие по общедоступным сетям на пути от межсетевого экрана удаленного клиента до корпоративного шлюза VPN. Антивирусные программы, установленные в удаленных межсетевых экранах, могут выявлять и изолировать большинство вирусов и их разновидностей (таких, как "троянские кони", "черви" и гибридные варианты), прежде чем они доберутся до центральных систем. Межсетевые экраны удаленных клиентов должны также обеспечивать безопасное хранение локальных файлов. Поскольку мобильные пользователи выполняют основную часть своей работы, не обращаясь в корпоративную сеть, то защита локальных файлов приобретает весьма важное значение. Для этой цели можно использовать программные средства шифрования файлов.
ШАГ ЗА ШАГОМ
Прежде чем браться за реализацию решения по удаленной безопасности, которое удовлетворяло бы выше перечисленным требованиям, администратору следует подготовить все необходимые для этого элементы. Первым делом надо проверить, в какой мере механизмы корпоративной безопасности отвечают поставленной задаче. Используемые средства аутентификации - будь то аппаратные или программные ключи доступа (токены), цифровые сертификаты или смарт-карты - должны в достаточной мере защищать удаленные клиентские компьютеры, имеющие доступ в корпоративную сеть.
Очень важно, чтобы выбранное решение по аутентификации реализовало наиболее популярные стандарты, такие, как RADIUS (Remote Authentication Dial-In User Services) или TACACS (Terminal Access Controller Access Control System). Кроме того, оно должно поддерживаться компонентами действующей инфраструктуры. Необходимо, чтобы средства VPN были совместимы с основными стандартами туннелирования и управления ключами: IPSec, протоколом туннелирования второго уровня (Layer-2 Tunnelling Protocol, L2TP) и обмен ключами через Internet (Internet Key Exchange, IKE), а также с популярными операционными системами (Windows 9x/NT/2000, Solaris и другими операционными системами семейства UNIX). Наконец, каналы VPN должны поддерживать алгоритмы надежного шифрования, такие, как Triple DES, а также технику симметричных и асимметричных ключей для организации туннелей между сетями и между клиентом и шлюзом.
Администратор сети должен иметь возможность сам определять пользователей и группы и назначать им с помощью службы DHCP адреса из различных диапазонов путем создания соответствующих пулов адресов в шлюзе. На шлюзе VPN необходимо применять фильтры трафика для отдельных адресов или диапазонов адресов в целях контроля доступа. При подключении клиентов шлюз VPN должен выполнять строгую двухфакторную аутентификацию, включая пароль или PIN-код, аппаратный или программный токен, либо цифровой сертификат.
Для усиления защиты, обеспечиваемой средствами VPN, клиентский межсетевой экран следует выбирать с тем расчетом, чтобы он обеспечивал адекватную защиту для всех сетевых адаптеров удаленной автономной системы. Это решение должно поддерживать централизованное управление, включая возможность распространения правил безопасности с центрального сервера политики безопасности на клиентские межсетевые экраны. Примером такого решения может служить пакет ICEpac Security Suite компании Network ICE. Клиентский межсетевой экран (BlackICE Agent) получает правила безопасности от диспетчера политики (ICEcap Manager) всякий раз, когда в этом возникает необходимость. Например, политику безопасности можно передавать на каждую удаленную клиентскую систему при ее подключении, чтобы у клиента всегда была самая актуальная версия правил, а можно делать это только при модификации программного или аппаратного обеспечения удаленного клиента. Схема централизованного управления политикой безопасности и событиями изображена на Рисунке 1.
Диспетчер ICEcap Manager может обновлять версию клиентского межсетевого экрана при обнаружении брешей и появлении соответствующих заплат или при добавлении новых функций в экран. Позволяя загружать обновления правил безопасности и обновления программного обеспечения с центрального сервера, расположенного за корпоративным межсетевым экраном, эта возможность представляет большую ценность для системы удаленного управления безопасностью. Система выявления вторжений (Intrusion Detection, ID) межсетевого экрана BlackICE Agent может отправлять оповещения центральному диспетчеру ICEcap Manager в режиме реального времени; в результате на центральной управляющей станции будут накапливаться оповещения, поступающие от всех удаленных клиентских экранов.
Если в удаленных системах применяются программные средства шифрования файлов, то пользователи могут защитить копии корпоративных файлов и каталогов, которые они должны хранить на своих локальных дисках. Выбирая программный пакет шифрования файлов, предпочтение следует отдать тому, в котором аутентификация при обращении к хранилищу шифрованных файлов осуществляется на основе и паролей, и цифровых сертификатов. Например, пакет PGPdisk компании Network Associates позволяет пользователю надежно зашифровать файлы и каталоги в своих удаленных системах, контролируя доступ к ним с помощью паролей, цифровых сертификатов или тех и других одновременно. Кроме того, PGPdisk поддерживает функцию демонтирования файловой системы, если с ней в течение некоторого заранее оговоренного периода не выполнялось никаких действий или если компьютер перешел в "спящий" режим.
Антивирусная защита также должна быть централизована, чтобы файлы с описанием подлежащих обнаружению и уничтожению вирусов использовались по всему мобильному периметру. Например, программа Norton AntiVirus Corporate Edition корпорации Symantec позволяет настроить антивирусную систему таким образом, чтобы во время каждой процедуры входа в сеть клиент получал новейшие файлы определения вирусов от ежедневно обновляемого центрального сервера антивирусной системы. Таким образом, клиенты смогут быстро получать описания вирусов и эффективно их использовать по назначению. При отсутствии центрального антивирусного сервера придется полагаться на аккуратность и своевременность обновления антивирусных спецификаций самими пользователями или сотрудниками службы поддержки.
Еще один важный элемент безопасности - поддержка управления сетью. При подключении удаленного клиента во время его входа в сеть, служба управления сетью должна затребовать у него все необходимые сведения - имя пользователя, имя компьютера, номер версии операционной системы, IP-адреса и список используемых сетевых адаптеров.
И, наконец, надо обратить внимание на то, какие показатели готовности должно обеспечивать решение безопасности, поскольку эти требования с течением времени имеют тенденцию к ужесточению. Если необходима круглосуточная работоспособность, то оно должно включать резервные элементы. Для этого администратору, возможно, придется пересмотреть конфигурацию сетевых компонентов - шлюза VPN, сервера аутентификации и средств доступа в Internet и Intranet, а также изучить варианты реализации центрального сервера политики (например, предусмотреть работу нескольких серверов политики) и таким образом определить, где лучше всего установить резервные компоненты в целях обеспечения желаемого уровня готовности. Установив оптимальную комбинацию избыточных элементов архитектуры, можно приступать к разработке стратегии, которая позволила бы наилучшим образом эксплуатировать решение по удаленному управлению защитой.
СТРАТЕГИИ УДАЛЕННОГО УПРАВЛЕНИЯ
Главный принцип построения системы удаленной защиты -- единообразное применение политики безопасности к системам на внешнем периметре. Как правильно подобрать нужные правила безопасности для тех или иных категорий пользователей? Эта извечная проблема может, если ею пренебречь, привести к образованию бреши в защите. Администратор должен аккуратно применять и отслеживать правила защиты, а также системы, на которых они устанавливаются.
Компании часто практикуют "наследование" оборудования: руководящим сотрудникам предоставляются самые современные и мощные модели ноутбуков, а прежние системы, скажем двухлетней давности, передаются их подчиненным. При смене владельца компьютера необходимо заново задать политику безопасности; если этого не делать, правила защиты данных станут применяться не по адресу, и безопасность вновь окажется под угрозой. Единообразную реализацию политики безопасности гарантирует централизованное управление, в этом случае одну и ту же политику можно применять сразу ко всем сотрудникам или выборочно к конкретным категориям пользователей.
Однако в некоторых ситуациях допустимым оказывается единственный вариант: применять для различных групп пользователей различные наборы правил. Предположим, вы решили, что ресурсами виртуальной локальной сети, куда входят серверы с финансовой информацией, могут пользоваться только сотрудники отдела финансов. Следовательно, доступ в эту защищенную сеть будет разрешен только пользователям с определенными сетевыми адресами. При подключении любого удаленного пользователя к сети предприятия служба DHCP назначает ему адрес в зависимости от того, к какой группе он приписан. Доступ к финансовой информационной сети можно ограничить на уровне корпоративного коммутатора или маршрутизатора, разрешив доступ к ней только адресатам из определенного диапазона (пула).
Администратору следует позаботиться о том, чтобы оборону межсетевых экранов внешнего периметра было нелегко обойти. Клиентский межсетевой экран должен быть оснащен средствами безопасности, которые трудно подавить или заблокировать. Эта задача не из простых, поскольку на рабочую среду домашнего компьютера или мобильного ноутбука могут повлиять неизвестные заранее факторы.
Основная проблема заключается в том, что многие удаленные системы содержат учетную запись локального администратора; это дает злоумышленнику возможность изменить, отключить или удалить политику безопасности экрана, а позже активизировать ее снова, причем во многих случаях незаметно для корпоративного администратора службы безопасности. Например, пока корпоративная политика отключена, хакер может извлечь из компьютера пользователя секретные данные, включая информацию об учетной записи и пароле, потому что пользователи имеют обыкновение устанавливать флажок remember my password ("запомнить пароль").
Устанавливая клиентов VPN в мобильных системах, организация может шифровать данные, поступающие на компьютер или с компьютера, когда тот подключен к шлюзу VPN. Решение VPN должно поддерживать принудительную блокировку расщепления туннеля у подключенных клиентов, чтобы они не могли общаться с другими системами во время работы туннеля, ведущего к корпоративному шлюзу.
Следует отметить, что программное обеспечение клиентского межсетевого экрана должно играть роль аварийного механизма, который используется главным образом в случаях, когда канал VPN с корпоративным шлюзом не действует и взломщик имеет возможность атаковать пользовательский компьютер непосредственно. Пока работает туннель между удаленными системами и корпоративным шлюзом VPN с запрещением расщепления, весь трафик от клиента проходит через этот туннель и шлюз VPN в центральную сеть. Если этот трафик направлен в Extranet или даже в Internet, он все равно должен будет преодолеть тот же межсетевой экран, который защищает сотрудников, работающих в офисе.
Отсюда становится понятным истинное назначение клиентского межсетевого экрана. Может создаться впечатление, что запрет расщепления туннеля решает многие проблемы, однако на самом деле обеспечиваемая им защита (безопасность проходящих данных) распространяется только на сетевой адаптер, используемый клиентом VPN. Если на удаленном компьютере установлен второй сетевой адаптер - например, адаптер удаленного доступа по протоколу PPP или адаптер интерфейса локальной сети: и этот адаптер не используется клиентским программным обеспечением VPN, система становится уязвимой для внешних атак, в результате которых злоумышленник может проникнуть в систему через второй интерфейс.
Удаленный компьютер легко превратить в шлюз, через который посторонние системы смогут перекачивать трафик из корпоративной или подключенной к туннелю сети (см. Рисунке 2). Получив контроль над вашей системой и включив пересылку пакетов IP, хакер может использовать ее как шлюз, направляющий трафик из его сети в корпоративную сеть, с которой удаленный пользователь связан каналом VPN. Администратору необходимо точно определить, сколько сетевых адаптеров использует система с клиентским межсетевым экраном - это позволит избежать ситуаций, когда удаленный клиент поддерживает связь с сетью и одновременно напрямую контактирует с третьей стороной. Поэтому в случае компьютера с несколькими адаптерами аутентификация доступа в корпоративную сеть через VPN и отключение расщепления туннеля по умолчанию еще не означают, что все проблемы безопасности позади, в частности, если такая блокировка затрагивает не все сетевые интерфейсы.
Избежать проблем, возникающих при использовании нескольких сетевых адаптеров, поможет средство инвентаризации, составляющее опись сетевых адаптеров всех типов и возвращающее собранные результаты корпоративному шлюзу VPN, который, в соответствии с корпоративной политикой, решает, разрешить или запретить подключение такого клиента. Инвентаризацию можно провести посредством обычной команды SNMP get systemInfo, которая сообщает о доступных сетевых адаптерах в клиентской системе во время входа клиента в сеть; более подробную опись системных ресурсов выдает, например, сервер (Microsoft Systems Management Server, SMS). Microsoft SMS можно настроить на опрос подключенного удаленного ПК с целью определения количества используемых сетевых адаптеров. Если ответ окажется неприемлемым, то администратор может разорвать соединение, дав пользователю надлежащие объяснения. Важно помнить, что, если не проверять число и конфигурацию сетевых адаптеров клиента, запрашивающего доступ, администратор не будет знать, где в сети образовалась "дыра". Кроме того, необходимо следить не только за тем, кто подключается к сети, но и за тем, как это соединение будет использоваться.
Сегодня, когда становится возможным высокоскоростной доступ в Internet из дома через провайдеров кабельного телевидения и служб DSL у администраторов, появляется еще один повод для беспокойства: многие сотрудники будут создавать у себя дома небольшие сети. Большинство провайдеров взимает со своих абонентов плату в соответствии с числом систем, обращающихся в Internet, поэтому пользователи устанавливают у себя дома мини-маршрутизаторы или комплекты из маршрутизатора и межсетевого экрана, с целью маскировки нескольких IP-адресов одним (оплаченным) адресом. Такая конфигурация позволяет сотрудникам подключать ноутбуки (с установленным на них программным обеспечением корпоративного межсетевого экрана, антивирусной защиты и шифрования файлов) к своим домашним сетям, не обращаясь к провайдеру с просьбой увеличить число подключаемых систем. Поскольку эти домашние сети не охвачены централизованной политикой безопасности, нельзя точно сказать, могут ли там возникнуть проблемы защиты или нет.
В компьютеры домашней сети могут попасть вирусы, которые будут пытаться мигрировать на защищенный ноутбук, когда пользователь загрузит в него файловую систему домашнего ПК, возможно отключив для этого корпоративную политику безопасности. Это может быть, например, "троянский конь", передающий своему создателю сведения о конфигурации пользовательского ноутбука. Или домашний ПК могут предварительно "взломать" с помощью программы удаленного управления, такой как Back Orifice, с помощью которой хакер может получить полный контроль над системой - в том числе узнать имя учетной записи и пароль, применяемые пользователем для монтирования разделяемой файловой системы корпоративного ноутбука к файловой системе домашнего ПК.
Как известно, вирусы плодятся в огромных масштабах, поэтому файлы описания вирусов следует обновлять по крайней мере раз в день. Эти обновления должны происходить на серверах централизованного управления антивирусной защитой, чтобы они передавали обновленные варианты описаний удаленным клиентам (с межсетевыми экранами) при подключении последних к центральной сети. Для этого система антивирусной защиты должна поддерживать управляемых клиентов. Тогда каждый удаленный клиент антивирусной защиты можно установить как связанный с центральным антивирусным сервером управляемый сервис. После загрузки очередного обновления антивирусной системы на сервер (обычно это делается вручную), такое обновление становится доступным подключающимся к серверу управляемым клиентам.
Надежно обезопасить от вреда, причиняемого "троянскими конями", могут фильтры трафика в шлюзе VPN, через который удаленные клиенты с межсетевыми экранами подключаются к сети предприятия. В результате можно будет следить не только за тем, с какими системами происходит общение, но и за тем, какая информация им передается. Правильно установленные фильтры трафика способны помешать "троянским коням" делать их "черное" дело. Поскольку фильтры исходящего трафика разрешают поддерживать связь через шлюз VPN только известным приложениям, они позволяют остановить и несанкционированную передачу данных за пределы корпоративной сети.
Очень полезно также развернуть сетевую систему выявления вторжений. Установив такую систему в сегменте, соединенном со шлюзом VPN, можно отслеживать сомнительные и явно злонамеренные действия различных видов и даже разрывать нежелательные соединения TCP. При надлежащей настройке средства выявления вторжений могут идентифицировать многие разновидности сетевых атак. Сетевая система выявления вторжений является также важным компонентом безопасности удаленного межсетевого экрана. Такая удаленная система может выявлять почти тот же набор угроз, что и корпоративная система аналогичного назначения. Кроме того, поскольку эти системы пересылают сообщения о событиях в центральную систему выявления вторжений, администратор может получить при их применении более точную общую картину корпоративной безопасности. Возможность анализировать сетевые атаки в масштабе всего предприятия позволяет надежнее защитить корпоративные ресурсы.
КАКОЕ РЕШЕНИЕ САМОЕ ПОДХОДЯЩЕЕ?
На рынке можно найти много решений по удаленному управлению защитой, удовлетворяющих потребностям любого предприятия. Диапазон их функций безусловно важен, но главное - сколько времени и сил должны будут потратить сотрудники предприятия на поддержку такого решения. Выбирая пакет средств обеспечения безопасности для защиты мобильного периметра, первоочередное внимание следует обратить на возможность переноса продукта в другие системы, наличие документации, предлагаемые виды технической поддержки и опыт работы производителя в данной области.
Систему управления удаленным межсетевым экраном следует выбирать таким образом, чтобы она в максимальной степени задействовала существующую инфраструктуру и имеющиеся лицензии на программное обеспечение. Вряд ли без особой необходимости имеет смысл переоснащать рабочие места удаленных сотрудников и перестраивать корпоративную часть инфраструктуры (к тому же это обойдется слишком дорого). Например приобретаемый удаленный межсетевой экран должен поддерживать имеющийся на предприятии шлюз VPN и используемый в настоящее время центр выдачи цифровых сертификатов. Необходимо также убедиться, что система управления событиями в выбранном решении удаленной безопасности сможет посылать оповещения в имеющуюся центральную систему управления сетью. Обычно такие оповещения передаются в виде прерываний SNMP. Систему управления сетью, возможно, понадобится дополнительно настроить, чтобы эти события правильно интерпретировались. Среди других возможных форм оповещения: сообщения электронной почты для сотрудников службы поддержки и всплывающие диалоговые окна на консолях центра управления сетью. Какое бы средство оповещения не было выбрано, важно, чтобы оно точно передавало суть события, его характер и область действия -- это позволит специалистам по поддержке своевременно реагировать на создавшуюся ситуацию.
?Если на предприятии уже действует корпоративная система антивирусной защиты, то надо выяснить, будут ли ею поддерживаться удаленные клиенты. Важно знать, в состоянии ли центральный сервер управления политикой безопасности опрашивать подключающиеся клиентские системы, проверяя, не были ли блокированы или изменены установленные правила; определять число сетевых адаптеров у подключающихся клиентов; отказывать клиенту в доступе, если полученные ответы на эти вопросы окажутся неприемлемыми.
Ключевым является ответ на второй вопрос (не отключалась ли на время корпоративная политика безопасности, примененная к удаленному клиенту, и не изменялась ли она): это позволяет оценить, насколько рискует администратор, разрешая данное подключение. Если политика хоть ненадолго отключалась, клиент за это время мог быть заражен целым "табуном" "троянских коней". Запрашивающий подключение клиент должен сразу сообщить серверу политики, какую именно политику безопасности он в настоящее время использует и не была ли она изменена или временно отключена. Обычно такую информацию можно извлечь из файлов журналов регистрации событий клиента. Учтите, что и в журналы могли быть внесены изменения, если имел место несанкционированный доступ к удаленному клиенту с правами администратора.
Важный аспект управления удаленным межсетевым экраном - анализ ограничений конкретной технологии. Как уже говорилось выше, если администратор потребует выполнения аутентификации доступа через VPN в корпоративную сеть и отключит расщепление туннелей по умолчанию, то это не обязательно сделает сеть более защищенной. На практике может понадобиться дополнительное решение, такое, как Microsoft SMS, которое обеспечивает адекватную защиту клиентов, оснащенных более чем одним активным адаптером.
Мы обсудили лишь несколько вопросов из числа тех, которые должны быть заданы при планировании решения для удаленного управления безопасностью. Следующим шагом будет внедрение строгих стандартов безопасности, начиная с корпоративной среды и заканчивая всеми удаленными клиентскими системами. Не имея надежных средств удаленного управления безопасностью, предприятие не сможет поддерживать должный уровень защиты, требования к которому будут постоянно расти.
Кертис Далтон - главный инженер консалтинговой компании Greenwich Technology Partners, сертифицированный специалист по безопасности информационных систем (Certified Information Systems Security Professional, CISSP). С ним можно связаться по адресу: cdalton@greenwichtech.com.