Технологии защиты беспроводных продуктов предлагают недостаточную безопасность.
Беспроводной широкополосный доступ в Internet через общественные точки доступа очень удобен для «серферов» и удаленных работников. Однако на что должен обращать внимание мобильный пользователь, если он хочет получить доступ к корпоративной сети через «хот-спот»?
Для безопасного доступа через общественные точки доступа («хот-спот») необходимо решение, защищающее удаленное рабочее место во всех фазах построения соединения - без рискованных жестко заданных настроек и участия пользователя. Этого можно добиться при помощи комбинации виртуальной частной сети (Virtual Private Network, VPN), надежной аутентификации, шифрования данных и брандмауэра.
В принципе, получить доступ к общественной сети при помощи оснащенного соответствующим образом конечного устройства может любой человек. Ему автоматически присваивается IP-адрес, если он знает идентификатор набора услуг (Service Set Identifier, SSID) беспроводной сети и находится в радиусе действия точки доступа. Кроме этого, ему должен быть разрешен доступ к беспроводной сети. Однако оператор беспроводной сети не обеспечивает безопасность данных или защиту абонентских устройств от атак.
Между тем безопасность - важная тема для оператора «хот-спота», поскольку ему приходится проверять правомерность доступа в сеть, чтобы исключить злоупотребление серверными услугами. Между тем идентификация пользователей служит лишь для определения и расчета времени работы. Однако как обстоит дело с защитой информации во время передачи данных? И как наиболее оптимально защитить персональный компьютер от атак по беспроводной сети и из Internet? Собственно риск для безопасности в случае доступа через «хот-спот» заключается в том, что регистрация у оператора, как правило, должна происходить через браузер вне защищенной области VPN. Во время регистрации конечное устройство нередко не защищено. Это противоречит политике безопасности многих предприятий, запрещающей непосредственное перемещение по Internet и допускающей использование лишь определенных протоколов.
В принципе конфиденциальность достигается посредством испытанных механизмов обеспечения безопасности - VPN и шифрования данных (см. Рисунок 1). Для этого на КПК, настольном компьютере, ноутбуке или смарт-фоне необходимо инсталлировать программный клиент VPN, через который строится сквозной туннель к центральному шлюзу VPN. Дополнительные механизмы безопасности, например сертификаты в инфраструктуре с открытыми ключами (Public Key Infrastructure, PKI) или токены с одноразовым паролем, обеспечивают надежную авторизацию пользователя и дополняют или заменяют его привычное имя и пароль. Соответствующими стандартами безопасности являются туннелирование IPSec и шифрование AES для защиты данных и X.509v3 - для защиты доступа.
Рисунок 1. Целевые механизмы безопасности для удаленного доступа через общественную точку беспроводного доступа. |
Необходимые механизмы защиты от атак из Internet и общественной беспроводной сети предлагает только персональный брандмауэр. Повсеместное распространение получила контексная проверка пакетов с учетом состояния протокола (Stateful Packet Inspection, SPI). Если этот стандарт не поддерживается, входить в Internet с «хот-спота» не рекомендуется.
КЛИЕНТ VPN И ВНЕШНИЙ ПЕРСОНАЛЬНЫЙ БРАНДМАУЭР
В случае решений VPN с отдельно инсталлированным брандмауэром, как это имеет место на многих предприятиях, при регистрации на общественной точке беспроводного доступа на персональном брандмауэре должны быть открыты порты трафика HTTP и HTTPS. Это можно сделать тремя разными способами:
- правила брандмауэра для HTTP и HTTPS заранее жестко задаются администратором для обеспечения функциональности на любых «хот-спотах»;
- конфигурация позволяет открывать при необходимости порты для HTTP и HTTPS на определенный промежуток времени (к примеру, на 2 мин);
- пользователь наделяется правами администратора для самостоятельного изменения правил брандмауэра.
Во всех трех случаях риск для безопасности заключается в том, что пользователь перемещается по Internet вне защищенного туннеля VPN, и на компьютер может внедриться вредоносное программное обеспечение - вирусы, «черви» или троянцы. При временном открытии брандмауэра существует опасность преднамеренного злоупотребления из-за многократного открытия временного окна. Если персональный брандмауэр не допускает коммуникации, противоречащей конфигурации, то пользователь должен активировать для «хот-спота» соответствующие правила брандмауэра на время регистрации. Открытие персонального брандмауэра по необходимости повышает риск ошибочной конфигурации. Важно четко знать, какие изменения, в какой среде и в каком месте требуется произвести. Качество уровня безопасности определяется сознательностью сотрудников и техническим ноу-хау.
Как можно видеть, требования к функциональности персонального брандмауэра в случае мобильных вычислений в беспроводной сети очень многогранны. Он должен обеспечить защиту критичных этапов в процессе регистрации и выхода из системы на «хот-споте», включаясь по возможности как можно раньше, т. е. при запуске системы, и оставаясь активным, когда соединение VPN отсутствует или клиент VPN дезактивирован. Кроме того, необходимо следить за тем, чтобы удаленный пользователь не переконфигурировал персональный брандмауэр самостоятельно и тем более не отключал его.
КЛИЕНТ VPN И ИНТЕГРИРОВАННЫЙ ПЕРСОНАЛЬНЫЙ БРАНДМАУЭР
На помощь приходит решение VPN с интегрированным в клиент персональным брандмауэром. Преимущество этого варианта в том, что персональный брандмауэр и клиент VPN функционально согласованы друг с другом. Во время совместной работы в зависимости от сетевой среды динамически активируются наборы правил брандмауэра. Возможны три ситуации:
- известные сети;
- неизвестные сети;
- сети VPN.
Автоматическое распознавание сети происходит путем оценки различных сетевых характеристик. В «дружественных сетях» - и в общественных чужих средах, и на «хот-спотах» - действуют разрешительные правила брандмауэра. Персональный брандмауэр должен обладать интеллектуальными механизмами, гарантирующими как надежное открытие доступа к сети через браузер, так и надежную регистрацию на общественной точке беспроводного доступа. Поэтому компания NCP, к примеру, разработала решение, где пользователь в зоне приема общественной беспроводной сети выбирает пункт меню «Регистрация на «хот-споте». В ответ на это клиент VPN автоматически ищет точку доступа и открывает регистрационную страницу Web в стандартном браузере. После успешного ввода данных, доступа и получения разрешения оператора можно создать соединение VPN с главным офисом. Тогда становится возможной такая же надежная коммуникация, как и на рабочем месте в офисе.
Для защиты персонального компьютера в беспроводной сети в случае комбинации из клиента VPN и брандмауэра последний должен разрешить динамическое открытие портов для HTTP и HTTPS для регистрации на точке доступа и последующего выхода из системы. В это время возможен обмен трафиком данных с сервером оператора «хот-спота». Незатребованные пакеты данных отклоняются. Таким образом гарантируется, что общественная беспроводная сеть используется исключительно для построения соединения VPN с центральной сетью передачи данных, а прямой доступ в Internet невозможен.
Еще одной важной составной частью реализации системы безопасности для мобильных сотрудников при доступе через «хот-споты» является централизованное управление клиентским программным обеспечением, с помощью которого администратор определяет правила брандмауэра клиентов. Он может предусмотреть их принудительное выполнение, а также запретить проведение любого случайного или преднамеренного изменения.
Для обеспечения безопасности конечных устройств при каждом обращении к корпоративной сети должны проверяться все имеющие отношение к безопасности параметры. Речь идет о состоянии антивирусной программы, статусе заплат инсталлированной операционной системы и версии программного обеспечения клиента VPN. Доступ к сети может быть разрешен лишь после исключения всех рисков.
Ханс Бранднер - сотрудник NCP Engineering. С ним можно связаться по адресу: wj@lanline.awi.de.
? AWi Verlag