Для действенной защиты виртуальных частных сетей необходимы надежные решения аутентификации. Производители продуктов VPN, как правило, предусматривают интерфейсы для подключения внешних механизмов аутентификации. В статье рассматриваются технологии использования однократных паролей и интеграции с PKI, а также приводятся примеры практической конфигурации.

Безопасность инфраструктуры открытых ключей (Public Key Infrastructure, PKI) базируется на использовании пары ключей: открытого и закрытого. Закрытый ключ в большинстве случаев надежно хранится на смарт-карте, в то время как открытый выдается доверительным центром любому желающему в виде сертификата с цифровой подписью, посредством которой личность его владельца неразрывно связывается с соответствующим открытым ключом. По сути, сертификат становится удостоверением личности пользователя.

Подобное решение аутентификации предполагает наличие устройства чтения смарт-карт с драйверами для конкретной операционной системы. Платформы Windows, как правило, распознают эти устройства автоматически, поэтому установка драйверов проходит достаточно просто. Уровнем выше осуществляется инсталляция пакета безопасности, он использует драйверы для обращения к смарт-карте в считывателе и отображает функции на высокоуровневый интерфейс безопасности, такой, как стандарт шифрования с открытыми ключами (Public Key Cryptography Standards, PKCS) #11 или Microsoft Crypto API. Интерфейсы предоставляют криптографические базисные функции: шифрование и дешифрование, а также генерацию цифровых подписей, которые продукты VPN могут задействовать для надежной аутентификации.

Полный комплект для клиента выглядит следующим образом:

  • устройство для чтения смарт-карт, включая драйверы;
  • смарт-карта;
  • подключаемое программное обеспечение с криптографическим интерфейсом;
  • клиентское программное обеспечение VPN соответствующего производителя.
Рисунок 1. Sevoid Token от компании Kobil в виде смарт-карты с устройством для считывания карт защищен PIN-кодом.

Со стороны сервера обычно применяется шлюз VPN. Поскольку он уже способен обращаться с сертификатами, то нуждается лишь в определенном конфигурировании.

Основой для последующих примеров является компания с разъездными сотрудниками, которые намерены связываться с центральным офисом через туннель VPN. При этом различные продукты VPN могут комбинироваться с функциями PKI. Мы не станем описывать специфичных для каждой отдельной сети требований, поскольку они не затрагивают аутентификацию. Если на клиентских компьютерах уже установлено устройство для чтения смарт-карт с необходимым программным обеспечением, то интерфейсы PKCS#11 или Crypto-API готовы к аутентификации.

ИНТЕГРАЦИЯ С PKI

VPN+ ОТ F-Secure. Решение VPN+ от F-Secure предусматривает централизованное администрирование при посредничестве менеджера правил. Поэтому конфигурация модуля PKCS#11 для клиента осуществляется централизованно через консоль менеджера правил. В окне «Домены правил» (Policy Domains) система приводит список всех зарегистрированных клиентских машин. Для конфигурации компьютеров в окне «Свойства» (Properties) выбирается пункт «Настройки аутентификации» (Authentication Settings), куда вносится имя библиотеки PKCS#11 (kpcks11hash.dll). Кроме этого, под пунктом меню «Обработка сертификатов» (Certificate Handling) можно указать номер сертификата сертификационного центра. Как только клиент в следующий раз загрузит свой профиль, он получит новую конфигурацию и активирует ее. Это может происходить с некоторой задержкой, в частности, когда клиентские машины не подключены на данный момент к сети. Если возникают какие-либо проблемы, администратор автоматически получает соответствующее сообщение.

Клиент следующего поколения от Check Point. Check Point предлагает Secureagent NG (FR2) для бесплатной загрузки. В качестве криптографического интерфейса применяется Microsoft Crypto API. Отметив флажком «Использовать сертификат» (Use Certificate), администратор при конфигурации соединения VPN может выбирать из списка локально зарегистрированных сертификатов. Для локальной регистрации сертификата о нем для начала необходимо сообщить Windows. При этом открытый сертификат сохраняется вместе со ссылкой в системном реестре, закрытый же ключ остается на смарт-карте. Со стороны сервера администратор должен лишь задать службу каталогов LDAP, где находятся сертификаты легитимных пользователей. Древовидная структура сервера LDAP должна в точности соответствовать распределению имен в сертификатах, чтобы сервер VPN мог найти необходимый пользовательский сертификат и в каталоге LDAP.

Windows 2000 VPN. Функции VPN операционной системы Windows 2000 тесно связаны с регулярными настройками сети, поэтому их можно найти в настройках сети и удаленного доступа к сети. При выборе опции «Создать новое подключение» появляется мастер создания нового подключения. В качестве типа сетевого соединения администратор выбирает «Подключение к виртуальной частной сети через Internet». Теперь он должен решить, будет ли это соединение работать только для зарегистрированных пользователей или для всех без исключения. По завершении работы мастера в настройках сети и удаленного доступа к сети появляется новое соединение. Однако взаимодействовать с сертификатами оно сможет лишь после того, как администратор войдет в меню свойств соединения, откроет закладку «Безопасность» и переопределит опции безопасности на использование смарт-карт. После этого конфигурация завершается.

Теперь соединение VPN можно инициировать, дважды щелкнув левой клавишей мыши на значке в сетевых настройках. После того как пользователь вставит смарт-карту, ему придется ввести соответствующий PIN-код. В архитектуре VPN операционной системы Windows 2000 можно задействовать также содержащиеся в серверах Windows 2000 сертификационные центры (Certificate Authority, CA) с целью создания сертификатов для клиентов и серверов. При этом необходимо следить за тем, чтобы используемые профили сертификатов подходили для работы с IPSec.

ОТКУДА БЕРУТСЯ СЕРТИФИКАТЫ?

Для создания сертификатов применяются два различных подхода: организация собственного доверительного центра или обращение к услугам уже существующего. Те, кто не хочет нести дополнительные издержки на поддержание собственного центра, могут обратиться к провайдеру услуг. Для аутентификации VPN не нужны дорогие сертификаты, в этом случае достаточно более дешевых подписей.

Решение с виртуальным сертификационным центром клиента от такого провайдера, как Telesec, предполагает установку инструментария для регистрации, с помощью которого администратор собирает от пользователей запросы на сертификаты и отправляет их в сертификационный центр провайдера. После проверки и обработки запроса центр пересылает готовый сертификат администратору. Весь процесс проходит в интерактивном режиме, пользователь покидает офис администратора с уже готовой персональной смарт-картой.

Если предприятие все же хочет использовать PKI самостоятельно, то ему понадобится программное обеспечение для доверительного центра, с помощью которого администратор сможет сам выдавать сертификаты и не зависеть от внешних провайдеров. Однако этот подход требует более длительного изучения PKI и собственного ноу-хау при создании и эксплуатации доверительного центра, а заранее оценить, какого рода трудности возникнут во время работы, удается далеко не всегда. На данный момент доступен ряд пакетов для организации доверительного центра — от бесплатных вариантов с открытыми исходными кодами, как Open CA, до Windows 2000 СА, содержащихся на серверах Windows 2000 и коммерческих программных пакетов разработки Flex Secure, Entrust и Baltimore.

В РАБОЧЕМ РЕЖИМЕ

Когда интеграция PKI завершена, все клиенты получили сертификаты и могут быть аутентифицированы, то администратору остается только отслеживать некоторые моменты в процессе эксплуатации решения. Сертификаты обладают ограниченным сроком действия, время от времени их необходимо продлевать, для чего доверительный центр должен предлагать возможность их продления самими пользователями (принцип самообслуживания), но при обязательном подтверждении администратором правомерности подобных действий во избежание злоупотреблений. Кроме того, в повседневной практике может помочь способность сертификационного центра автоматически оповещать пользователя, к примеру, посредством электронной почты, о скором окончании срока действия сертификата и о способе его продления.

Если пользователь теряет сертификат (например, в результате кражи или повреждения смарт-карты) или просто забывает дома, то ему все-таки необходимо иметь возможность продолжать работу. Эту проблему можно решить при помощи запасных сертификатов — они предоставляются в программном виде и с ограниченным сроком действия (например, на один день) — или системы однократных паролей в качестве резервной опции, когда администратор выдает пользователю действительный однократный пароль (или несколько таких паролей до получения новой смарт-карты). При наличии сертификата можно входить в операционную систему, а также пользоваться другими функциями, включая шифрование файлов или подпись электронных писем.

ЗАЩИТА ПОСРЕДСТВОМ ОДНОКРАТНЫХ ПАРОЛЕЙ

Каждый пользователь системы получает персональную микропроцессорную карту и автономное считывающее устройство. Если необходимо зарегистрироваться на шлюзе VPN, то для удостоверения личности ему придется ввести однократный пароль. Этот пароль вычисляется и отображается после введения PIN-кода в считывающее устройство. Затем он вводится в клиент VPN точно так же, как статический пароль. Каждый пароль принимается системой лишь один раз, так что при следующем подключении пользователю придется генерировать новый пароль при помощи своей карты. Работающее от батареек считывающее устройство не надо для этого подключать к компьютеру. Однако большинство продуктов опционально предлагает такую возможность (через последовательный порт или USB), чтобы их можно было бы применять и с другими приложениями в качестве полноценных терминалов для считывания карт.

В случае однократных паролей шлюз VPN должен передать запрос на аутентификацию уполномоченному серверу аутентификации. Обмен сообщениями между шлюзом VPN и сервером происходит через открытые стандартные интерфейсы (RADIUS или TACACS+). Сервер аутентификации, во-первых, сообщает шлюзу VPN, был ли введен корректный однократный пароль (аутентификация), а во-вторых, что разрешено данному пользователю (авторизация, т. е. сообщение профиля прав пользователя). Посторонние не могут войти в систему, поскольку не обладают картой с необходимой идентификационной информацией и не знают защищающего ее секретного PIN-кода. Следовательно, аутентификация базируется на двух факторах (двухфакторная аутентификация): наличие карты и PIN-кода.

ОДНОКРАТНЫЕ ПАРОЛИ В РЕШЕНИЯХ VPN

Подключение систем однократных паролей к продуктам VPN в большинстве случаев происходит через интерфейсы RADIUS или TACACS+ соответствующего шлюза VPN. Шлюз лишь необходимо специальным образом переконфигурировать: для каждого пользователя администратор в качестве метода аутентификации должен задать «внешний сервер аутентификации» и указать его IP-адрес и номер порта. Чтобы шлюз VPN и сервер аутентификации могли безопасно общаться в соответствии с определяемым стандартом RADIUS или TACACS+ симметричным методом шифрования, в шлюз VPN должен быть введен соответствующий симметричный ключ (shared key).

Дополнительно серверу аутентификации необходимо сообщить о шлюзе VPN. Если системы взаимодействуют посредством RADIUS, то администратор должен ввести IP-адрес шлюза VPN с упомянутым ключом, а в случае TACACS+ вполне достаточно указания симметричного ключа.

РАБОЧИЙ РЕЖИМ

Худшее, что может случиться, — это то, что пользователь забудет свой PIN-код или введет его некорректно: микропроцессорная карта или, соответственно, токен блокируется, и разблокировать их сможет только администратор. В случае необходимости доступа пользователя к системе администратор может сгенерировать однократный пароль при помощи новой карты и передать его пользователю по телефону, чтобы тот мог зарегистрироваться. В качестве альтернативного варианта предусмотрена выдача временного статичного пароля, который также передается по телефону.

ЗАКЛЮЧЕНИЕ

Право на существование для укрепления решений VPN имеют как системы однократных паролей, так и интеграция с PKI, однако они направлены на удовлетворение различных потребностей пользователей. Системы однократных паролей обладают преимуществом высокой мобильности, поскольку со стороны клиента нет необходимости в дальнейшей инсталляции, и поэтому развертывание происходит очень просто. Кроме того, в этом случае не требуются расходы на поддержку устройства чтения смарт-карт и продление сертификатов. Интеграция с PKI, напротив, имеет то преимущество, что при более затратном развертывании она позволяет впоследствии защитить прочие приложения без дополнительных инвестиций в программное или аппаратное обеспечение.

Йорг Бахманн — независимый журналист. С ним можно связаться по адресу: gg@lanline.awi.de.


? AWi Verlag