Во многих отраслях мобильность стала одним из важнейших требований, предъявляемых к сотрудникам. Ежедневно миллионы людей находятся в служебных командировках и выезжают к своим заказчикам. Gartner и IDC подсчитали, что около 75% берут с собой портативный компьютер, а 65% из них пользуются Internet в гостинице. Чтобы оптимизировать расходы, необходимо использовать виртуальные частные сети.
Если сотрудники ежедневно в течение 75 мин пользуются связью с центральным офисом, то затраты предприятия растут очень быстро. Совершенно независимо от непосредственной стоимости централизованной инфраструктуры, например коммуникационного сервера и арендной платы за подключение через каналы ISDN PRI, при пользовании коммутируемой связью возникают скрытые расходы на инсталляцию и применение различных способов доступа к Internet в ноутбуке (модем: аналоговый, ISDN, GSM, GRPS, UMTS, WLAN и проч.). Дополнительно требуется множество переходных штекеров для телефонной сети в стране пребывания. В случае коммутируемой связи пользователи, кроме того, целиком и полностью зависят от защищенности соответствующей сети, если они не принимают никаких других мер безопасности.
Широкая полоса теперь предлагается почти повсюду в Европе. Между тем гостиницы, аэропорты и конгресс-центры предоставляют множество видов широкополосного доступа в Internet через Ethernet или беспроводное оборудование по стандарту 802.11b с пропускной способностью 11 Мбит/с на каждую точку доступа. Эта пропускная способность может использоваться с помощью технологии VPN для надежной связи мобильных сотрудников с их предприятиями и получения ими доступа к необходимым рабочим данным. Все больше и больше предприятий отдает должное новой тенденции. На наших глазах происходит смена парадигм от коммутируемого доступа к VPN для удаленного доступа.
ОТ МОБИЛЬНОГО КОНЕЧНОГО УСТРОЙСТВА ДО ФИЛИАЛА
VPN может быть организована для различных целей. К ним относится связь через Internet с удаленными сотрудниками, мобильными пользователями и филиалами, а также подключение заказчиков, субподрядчиков и партнеров к корпоративной сети. Это осуществляется с помощью маршрутизаторов и межсетевых экранов благодаря функциональности IPSec. Если мобильные пользователи выходят в Internet посредством аналогового или цифрового (ISDN) коммутируемого доступа через локального провайдера услуг и обращаются к центральному офису предприятия, то речь идет о виртуальной частной сети для удаленного доступа.
Необходимым условием использования таких виртуальных частных сетей является наличие IPSec-совместимого клиента VPN для ноутбука или настольного компьютера. Существующие наряду с программными решениями аппаратные клиенты позволяют подключать конечные устройства, которые «клиент VPN» не поддерживает. В качестве клиентской системы может выступать и маршрутизатор. Для достижения максимальной защиты от несанкционированного доступа в идеале клиент VPN должен работать со встроенным персональным межсетевым экраном. Наиболее надежное шифрование обеспечивают Triple Data Encryption Standard (3DES) и Advanced Encryption Standard (AES). Преемник стандарта DES основан на бельгийском алгоритме Rijndael и поддерживает длину ключа от 128 до 256 бит. Клиент должен дополнительно иметь надежные механизмы аутентификации, например однократные пароли или сертификаты со смарт-картами, и поддерживать возможность легкого распределения и управления ими. Это особенно важно при больших количествах пользователей, иначе администраторы при каждом изменении политики безопасности предприятия должны будут заново осуществлять конфигурацию всех конечных устройств.
В сети предприятия для терминирования соединений IPSec клиентов VPN применяются концентраторы VPN. Они принимают соединение, аутентифицируют пользователей, управляют правами доступа и организуют туннель IPSec. Самым важным является простота управления тысячами пользователей, на которых должна распространяться централизованная политика безопасности. Причем процессы принудительного распространения политики обеспечивают передачу действующих правил клиенту VPN только после его успешной регистрации. Манипуляции на ноутбуке клиента исключены по причине отсутствия конфигурационных данных, которые пользователь мог бы изменить. Если на центральном концентраторе изменяются настройки безопасности для одного пользователя, то они немедленно активируются и при установлении следующего соединения передаются клиенту. С помощью этого процесса управление VPN с десятью клиентами осуществляется так же просто, как и управление VPN с 10 тыс. клиентами.
БЫСТРОЕ ВОССТАНОВЛЕНИЕ ТУННЕЛЯ
Современные концентраторы располагают особыми криптопроцессорами (Scalable Encryption Processor, SEP) специально для обеспечения высокой скорости шифрования при удаленном доступе. Решающее значение имеет не только высокая производительность шифрования, но и частота построения туннеля. Туннели IPSec шифруются индивидуально ключами сеанса (Session Key). Для обеспечения высокого уровня безопасности ключи периодически заменяются (Re-Keying). Криптопроцессоры специально оптимизированы для выполнения большого объема вычислений (Diffie-Hellman). Например, если одновременно функционирует 5000 туннелей, а организация одного из них занимает около 1 с, что характерно для программного решения VPN, то все туннели можно восстановить примерно за 1 ч. Напротив, у концентратора Cisco VPN 3000 скорость создания туннеля составляет около 0,1 с, поэтому 5000 туннелей снова будут готовы к работе через 10 мин. При наличии нескольких модулей SEP в одном шасси и использовании кластеризации ряда концентраторов можно еще более сократить это время. Скорость создания туннеля принципиально важна не только в случае возникновения неисправностей, но и при бесперебойной работе, потому что ключи сеанса периодически обновляются. Благодаря аппаратной реализации процесс протекает без помех, даже когда в сети работает много пользователей, так что, если необходимо, нужным приложением можно всегда воспользоваться.
ДОСТУП ВСЕГДА И ВЕЗДЕ
Благодаря удаленному доступу через VPN сотрудники предприятия могут воспользоваться любой сетью IP в любой точке мира для получения надежного доступа к корпоративной сети. Как же, однако, обстоит дело с домашним рабочим местом, если персональный межсетевой экран не находится в состоянии «всегда включен»? Подключение DSL часто используется не только сотрудниками, но и членами их семей с других персональных компьютеров, что представляет собой риск для корпоративной сети, так как заражение вирусом или «троянским конем» частных компьютеров через локальную сеть может привести к поражению и корпоративного ноутбука. При установлении очередного соединения с корпоративной сетью вирус будет передан далее в обход корпоративной политики безопасности. Чтобы не допустить этого, подключение к сети (DSL/Ethernet) следует защитить с помощью межсетевого экрана или маршрутизатора с функциональностью брандмауэра и антивирусной программой, причем оба должны подчиняться политике безопасности предприятия и централизованно управляться.
БЕЗОПАСНОСТЬ ДЛЯ УДАЛЕННЫХ СОТРУДНИКОВ
Небольшие и средние компании, разумеется, интересует уровень затрат на конфигурацию и управление оборудованием для удаленного доступа. В частности, при использовании нескольких маршрутизаторов и межсетевых экранов административно-управленческие расходы значительно увеличиваются. Некоторые производители придерживаются централизованного подхода к организации частных виртуальных сетей для удаленного доступа, при котором контроль и реализация политики безопасности в полной мере осуществляются на центральном концентраторе.
Чтобы упростить управление сетями на базе маршрутизатора или специализированных аппаратных устройств, Cisco включила технологию принудительного конфигурирования Ez-VPN (Easy VPN) в свою систему Internetworking Operating System (IOS). Концентратор может предоставлять маршрутизаторам и межсетевым экранам, как клиентам VPN, политику безопасности и другую информацию (см. Рисунок 1): например, о внутренних IP-адресах (со стороны локальной сети), масках подсети, сервере DHCP, адресе WINS, сервере DNS и конфигурации раздельного (splitt) туннелирования. Reverse Route Injection (RRI) и поддержка протоколов маршрутизации Open Shortest Path First (OSPF) и Routing Information Protocol (RIP) заботятся о том, чтобы удаленные сети были доступны для маршрутизации из центрального узла. Высокая готовность виртуальных частных сетей с удаленным доступом обеспечивается благодаря протоколу Hot Standby Routing Protocol (HSRP) и выравниванию загрузки клиентов внутри одного кластера концентраторов VPN. Малые и средние предприятия могут к тому же использовать для связи с удаленными сотрудниками предложения доступа в Internet по фиксированному тарифу без больших расходов на управление.
ТРАДИЦИОННЫЕ РЕШЕНИЯ НЕ ВСЕГДА ЭФФЕКТИВНЫ
До недавнего времени сети VPN на базе IPSec рассматривались как единственный вариант надежного соединения через общедоступные сети. Они сделали передачу данных через Internet очень популярной, особенно благодаря радикальному удешевлению, по сравнению с классическими способами передачи данных — Asynchronous Transfer Mode (ATM) или frame relay. Для соединений «точка—точка» по требованию они также представляют недорогую альтернативу с высоким уровнем безопасности. И все-таки удаленный доступ через сети IPSec VPN все еще связан с относительно высокими расходами. Протокол IPSec предполагает инсталляцию и конфигурацию соответствующих программных клиентов на рабочих станциях удаленных пользователей — дорогостоящая и трудная задача, особенно когда администраторы не имеют к ним непосредственного доступа. Работая на сетевом уровне, сети IPSec VPN обеспечивают удаленному компьютеру полный обзор корпоративной сети предприятия, как если бы он находился в локальной сети. Выполнить требования безопасности ИТ (Policy Enforcement) при таком решении крайне сложно. Поэтому высокая общая стоимость удаленного доступа посредством сетей IPSec VPN часто отмечается как существенный недостаток.
Популярность сетей Secure Sockets Layer VPN на рынке доступа к Internet в последнее время неизмеримо выросла. Ряд именитых аналитиков предсказывают все больший рост конкурентоспособности продуктов на базе технологии SSL VPN, по сравнению с классическими решениями VPN на базе IPSec, и все более интенсивное вытеснение последних с рынка.
Возрастающий спрос на сети SSL VPN объясняется, прежде всего, тремя важными факторами. Во-первых, ужесточением законов о защите информации. Конфиденциальность частной сферы должна гарантироваться путем обеспечения защиты, неприкосновенности и достоверности при пересылке и хранении не подлежащей разглашению персональной информации. Во-вторых, ростом интереса к Extranet. Защищенный доступ для внештатных сотрудников и предприятий-партнеров к внутренним сетям стал одним из насущных требований бизнеса. И, в-третьих, растущей заинтересованностью в более гибком рабочем графике. Сотрудники часто предпочитают свободный график и возможность работать дома — тенденция, которая, например, в Великобритании даже поощряется законодателями в так называемом Flexible Working Act с целью создания соответствующих условий для родителей с маленькими детьми.
Между тем сети SSL VPN позволяют удовлетворить самые разные требования к удаленному доступу и имеют относительно низкую стоимость при высокой гибкости, безопасности и удобстве обслуживания.
ШЛЮЗЫ ПРИЛОЖЕНИЙ ДЛЯ ПРЕДПРИЯТИЯ
Современная корпоративная сеть подвержена динамичным изменениям. Со временем кооперация в бизнесе неизбежно порождает множество приложений. В результате в вычислительных центрах накапливается значительное количество приложений на базе систем Windows Terminal Server, UNIX/Linux или мэйнфреймов, а также сетевых приложений на серверах Intranet.
Освоение такой сложной среды представляет собой одну из наибольших трудностей для компаний-партнеров и служащих при организации удаленного доступа с одновременным выполнением требований безопасности.
Сегодняшние сети SSL VPN решают эти проблемы путем консолидации трех различных технологий доступа в одном шлюзе прикладного уровня (cм. Рисунок 2):
- доступ без клиента через браузер к удаленным унаследованным приложениям;
- защищенный доступ в рамках Intranet к приложениям и порталам на базе Web;
- доступ с настольного компьютера для клиент-серверных приложений через туннель SSL.
ДОСТУП БЕЗ КЛИЕНТА К УНАСЛЕДОВАННЫМ ПРИЛОЖЕНИЯМ
Количество приложений на базе Intranet внутри предприятия растет, однако унаследованные приложения, не способные к работе в сети, все еще составляют жизненно важное ядро многих корпоративных приложений на центральных хостах Windows, UNIX/Linux, мэйнфреймах или AS/400. Для менеджера ИТ они представляют величайшую трудность при выборе вида и способа надежного удаленного доступа, ведь для каждого из них необходимо реализовать доступ по требованию.
Ведущие производители оборудования SSL VPN решают эту дилемму за счет предоставления удаленного доступа без клиента к унаследованным приложениям путем непосредственной реализации технологий Web на системной платформе. Благодаря этому интегрированному подходу отпадает необходимость инсталляции и использования промежуточного программного обеспечения на базе сервера и соответствующих клиентов удаленного доступа. В одной из таких моделей как клиентские, так и серверные элементы приложения размещаются в вычислительном центре предприятия. Преимущество метода в том, что конечным пользователям для получения доступа к удаленным приложениям достаточно обычного браузера и не требуется никакое дополнительное программное обеспечение или конфигурирование компьютерной системы, откуда осуществляется доступ.
Оборудование SSL VPN делает клиент-серверные приложения доступными для удаленных пользователей через сеть и позволяет компаниям по-прежнему применять имеющиеся у них унаследованные приложения без дорогостоящего перепрограммирования последних. Поэтому удаленные пользователи могут легко работать практически с любой программой на любой современной платформе — будь это Windows, UNIX, Linux или мэйнфрейм 3270 либо 5250 (AS/400).
В модели доступа на уровне приложений шлюз SSL VPN использует так называемый Screen Scraping Protocol, который разделяет эмуляцию и обработку изображения, поэтому на браузер Web удаленного пользователя доставляется исключительно представление приложения. Шлюз поддерживает эту возможность с помощью апплета Java, который при первой регистрации пользователя автоматически загружается и инсталлируется в фоновом режиме. В результате с приложением можно работать по соединению, имеющему достаточно небольшую пропускную способность, с привычной скоростью — в идеальном случае так, как если бы оно выполнялось на локальной машине пользователя.
ДОСТУП К ПРИЛОЖЕНИЯМ НА БАЗЕ WEB
Даже если на предприятиях держатся за свои унаследованные приложения как за часть собственной стратегии в области приложений, часто они не могут обойтись без предоставления доступа к приложениям Web на базе браузера. Конечно, подобным образом можно заставить работать и такие приложения, как Microsoft Exchange Server или заказные приложения Intranet. Однако предоставление информации через Web — серьезный риск, который следует тщательно изучить.
В любом случае доступ через Web к внутренним приложениям при одновременном расширении круга пользователей становится значительной проблемой для отделов ИТ и прочих ответственных лиц. Начнем с того, что многие приложения размещаются в защищенной сети Intranet предприятия, и для определения имени хоста используется внутренняя доменная система имен (DNS), которая не может и не должна быть доступна в открытом Intranet.
Имеющееся в настоящее время оборудование SSL VPN преодолевает это препятствие путем предоставления ресурсов Intranet через туннель SSL только для санкционированных пользователей, что осуществляется путем доступа без клиента на базе браузера к ресурсам Web с использованием технологии HTTP Reverse Proxy.
В противоположность Forwarding Proxy, который, как правило, включается в качестве посредника между пользователем в корпоративной сети Intranet и узлом Web в Internet, Reverse Proxy выступает в роли соединительного звена между удаленным пользователем в Internet и корпоративным сайтом. В этом случае «выделенную точку входа» через Internet образует шлюз SSL VPN, через который удаленный пользователь с помощью своего браузера получает надежный доступ к серверу Web во внутренней сети. Такая архитектура обеспечивает быстрый, надежный и оптимальный доступ к информации на базе Web и является к тому же масштабируемой, если количество пользователей, которые должны получить санкционированный доступ, вдруг быстро возрастет.
Очевидны и другие преимущества в отношении безопасности при использовании шлюза SSL VPN: серверы Web предприятия остаются под защитой межсетевого экрана в закрытой части сети, а дополнительные затраты на дорогостоящее укрепление и обслуживание сервера не понадобятся, потому что от открытого доступа можно отказаться с самого начала. Кроме того, администраторы смогут с гораздо большей точностью соблюсти требования безопасности посредством контроля доступа к каталогам, серверу, путям и группам пользователей.
КЛИЕНТ-СЕРВЕРНЫЕ ПРИЛОЖЕНИЯ ЧЕРЕЗ ТУННЕЛЬ SSL
Оба вышеописанных метода удаленного доступа без клиента удовлетворяют требованиям большинства удаленных пользователей. Кроме того, часто возникает необходимость использовать локально инсталлированные клиент-серверные приложения, в частности почтовые программы. Как правило, в этом случае обмен данными между локально инсталлированным приложением и сервером во внутренней сети осуществляется параллельно с автономной работой (примером этого может служить Microsofts Outlook Client и Exchange Server для электронной почты). И такие сценарии, в которых до сих пор, как правило, применялись сети VPN сетевого уровня а-ля IPSec, можно легко реализовать посредством туннелирования SSL, впрочем, только если соответствующее приложение поддерживает шлюз SSL. Обычно шлюзы SSL VPN осуществляют доступ к настольным приложениям через туннель SSL с помощью подключаемого модуля VPN, он загружается и инсталлируется на локальный компьютер, когда пользователь впервые успешно регистрируется в системе удаленного доступа. Затем виртуальный адаптер организует надежный туннель SSL через браузер Web. Модернизация самих клиент-серверных приложений при этом не нужна. Как только администратор сети санкционировал доступ к определенным приложениям, пользователь может обращаться к ним через туннель SSL, причем без последующих изменений конфигурации. Большинство применяемых в настоящее время шлюзов SSL VPN наилучшим образом подходит для клиент-серверных операций такого рода и имеет ряд значительных преимуществ, по сравнению с классическими сетями IPSec VPN.
ПОЛИТИКА И СЕТЕВАЯ БЕЗОПАСНОСТЬ
С предоставлением доступа без клиента к унаследованным приложениям и использованием HTTP Reverse Proxy для приложений Web открываются широкие возможности доступа к приложениям. С этой точки зрения шлюзы SSL VPN можно приравнять к настоящему посреднику прикладного уровня.
Сети SSL VPN работают на седьмом уровне модели OSI — на уровне приложений. В противовес этому сети IPSec VPN функционируют на сетевом, т. е. третьем, уровне. Таким образом, шлюзы SSL VPN способны интерпретировать пользовательские данные, а требования безопасности удовлетворяются на уровне приложений. Правила доступа к приложениям можно устанавливать динамически с учетом контекста соответствующего пользователя с центрального узла.
На Рисунке 3 изображено, как шлюз SSL VPN эффективно защищает внутренние ресурсы, при этом он включается в поток данных между удаленным клиентом и приложением на базе сервера, терминируя входящие соединения удаленного пользователя на уровне приложений. Как только входящее соединение терминировано, оборудование организует — абсолютно прозрачно для пользователя — внутреннее соединение с сервером и переводит запрос в соответствующий формат:
- Remote Desktop Protocol (RDP) для приложений Windows на Windows Terminal Server (TES);
- X.11 поверх SSH для приложений UNIX и Linux;
- эмуляция 3270 через telnet для приложений на мэйнфреймах и AS/400;
- HTTP/HTTPS для сервера Web.
ПРЕИМУЩЕСТВО ТЕРМИНИРОВАНИЯ ДЛЯ ПРИМЕНЕНИЯ ПОЛИТИКИ
Как у каждого посредника прикладного уровня, «брешь терминирования», т. е. разрыв между терминированием соответствующего соединения и передачей запроса в надлежащем формате, позволяет шлюзу SSL VPN запросить внешний сервер аутентификации и сервер политики. Таким простым способом существующие серверы Active Directory или LDAP, на которых уже находятся идентификационные данные пользователя и мандаты, удается задействовать и для авторизации доступа к приложениям.
Сеть VPN прикладного уровня функционирует так, что сообщения пользователей никогда не направляются непосредственно на сервер приложений в закрытой сети. Вместо этого всегда происходит терминирование на шлюзе SSL VPN с последующей аналитической оценкой на основании политики и передачей сообщения в соответствующем формате на сервер приложений через второе внутреннее соединение. В результате шлюз заставляет провести аутентификацию пользователя и проверяет политику перед передачей потока данных на сервер приложений. Описанный процесс защищает ресурсы в частной сети гораздо более эффективным образом, чем традиционные решения удаленного доступа.
ПРЕИМУЩЕСТВА ШЛЮЗОВ SSL VPN
Защита данных — краеугольный камень всякой реализации удаленного доступа, и хорошее решение проблемы безопасности одновременно должно быть простым в эксплуатации. Оборудование SSL VPN легко интегрируется в сеть, не требует ни модификаций, ни прерывания работы существующих серверов приложений и механизмов безопасности. Предлагаемые в настоящее время шлюзы SSL VPN ведущих производителей объединяют все важнейшие функции безопасности в интегрированном оборудовании с усиленной защитой. Иными словами, аутентификация, применение политики и шифрование объединены в одной системной платформе, что позволяет быстро осуществлять интеграцию. Таким образом, заказчик получает простое в эксплуатации и не требующее сложного технического обслуживания решение сети VPN.
Клаус Ленссен — менеджер по развитию бизнеса отдела безопасности Cisco Systems. С ним можно связаться через сайт http://www.cisco.com.
Кен Арауйо — ведущий инженер и старший вице-президент по инжинирингу компании Netilla Networks. C ним можно связаться через сайт http://www.netilla.de.
? AWi Verlag