Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
В прошлый раз мы подробно рассмотрели варианты соединения, доступные в IAG 2007. Эти варианты включали в себя расширенную проверку обратного прокси на уровне приложений, переадресатор портов и сокетов, сетевой коннектор. Теперь мы уделим внимание доступу к файлам и особенностям защиты.
Мы обсудим следующие темы:
Как я упоминал в первой части этой статьи, удалённый доступ к файлам совместного пользования, был одним из главных «определений» для клиентов SSL VPN. Клиенты понимали, что удалённый доступ к файлам SMB/CIFS через Интернет не очень то безопасное решение. Так что, в стремлении понять, зачем им нужна сеть SSL VPN, они пришли к мысли, что SSL VPN – нечто необходимое для безопасного доступа к файлам совместного пользования. Как нам известно, многие клиенты всё ещё убеждены в этом. И вы можете воспользоваться этим, пытаясь внедрить IAG 2007 в сеть вашего клиента.
IAG 2007 обеспечивает надежную поддержку для удалённого доступа к файлам совместного пользования. Компонент доступа к общим файлам легко настроить и использовать. Все настройки можно произвести в интерфейсе пользователя. В отличие от Exchange 2007, для этого нет необходимости входить в скрытую командную строку.
Рисунок внизу показывает, как конечный пользователь работает с функцией удалённого доступа. Опция файлового обмена видна на странице портала пользователя. И когда вы щёлкаете ссылку доступа к расшаренным файлам, в окне Internet Explorer появляется нечто похожее на браузер Windows Explorer. Пользователи могут направляться к серверу, который им нужен, и после щелчка по серверу они видят расшаренные файлы, которые вы сделали доступными для них. Как только они находят интересующий файл, то щёлкают по нему правой кнопкой мыши и выбирают команду скачать (download). Затем этот файл загружается на компьютер клиента через сеть SSL VPN.
Тут стоит заметить, что это не вся процедура. Если пользователи привыкли изменять файлы на самом сервере, работая в сети обмена, то им придётся усвоить новые правила при пользовании SSL VPN, поскольку изменение файла «на месте» недоступно. Если они хотят привнести изменения в файл, сначала они должны скачать этот файл.
Затем производятся изменения, и файл пересылается на файловый сервер. Однако, если они хотят только просмотреть файл, то могут воспользоваться опцией Open в контекстном меню.
Рисунок 1
Рисунок ниже показывает, как администратор задаёт конфигурацию доступа к серверам. Прежде всего, IAG 2007 должен быть членом домена, к которому принадлежат файловые серверы, и, по крайней мере, быть в доверительных отношениях с этими файловыми серверами. Потом вы выбираете те файловые серверы, к которым пользователи получат доступ, ставя галочки в квадратиках рядом с серверами. Выбрав файловые серверы, вы также имеете возможность выбрать, к каким расшаренным файлам пользователи получат доступ. Здесь важно отметить, что все NTFS-разрешения соблюдаются, так что пользователи должны иметь разрешения на доступ к папкам и файлам, прежде чем IAG 2007 позволит им просмотреть или скачать файлы.
Рисунок 2
Рисунок ниже показывает, что IAG 2007 предоставляет удалений доступ не только к расшаренным файлам в Windows, но также и для находящихся на файловых серверах Novell. Чтобы это работало, вам понадобиться установить клиентское программное обеспечение Novell на IAG 2007.
Рисунок 3
Другая приятная особенность IAG 2007 — это способность поддерживать начальные директории и отображенные сетевые накопители. На рисунке внизу вы видите, что имеются опции Don’t Define Users’ Home Directories (Не определять начальные директории пользователей), Use Domain Controller Settings for Home Directories (Использовать настройки контроллера домена для начальных директорий ( то есть настройка начальной директории в учётной записи пользователя)). А также есть опция Use the Following Template for Home Directories (Использовать следующий шаблон для начальных директорий). Вы также имеете возможность видеть начальную директорию пользователя всякий раз, когда загружен доступ к файлам (опция User’s Home Directory Will be Displayed Every Time File Access is Loaded). Автоматическая поддержка начальных директорий позволяет пользователям чувствовать себя « в офисе», находясь «в пути».
Если вы используете скрипты для отображения сетевых накопителей для ваших пользователей, то можете использовать те же самые скрипты для отображения сетевых накопителей на удалённых компьютерах пользователей. Просто включите опцию Show Mapped Drives (Показывать отображенные накопители) и укажите конфигурацию для правильного выполнения сценариев. Пользователи увидят отображенный сетевой накопитель в окне Windows Explorer после того, как нажмут опцию File Share в окне портала.
Рисунок 4
До настоящего момента мы рассматривали особенности удалённого доступа в IAG 2007. Удалённый доступ – важная часть рассказа, но ещё не весь рассказ. Вторая часть рассказа – это защита. Если бы нам просто нужен был удалённый доступ посредством SSL VPN- соединения, мы бы могли воспользоваться услугами одного из конкурентов IAG 2007 для этой цели. Но сейчас речь идёт о безопасном удалённом доступе. Без защищённого удалённого доступа возникает большая «дыра», что даёт возможность взломщикам красть, изменять и уничтожать корпоративную информацию.
Именно в защищенности удалённого доступа SSL VPN превосходит других конкурентов. В этом разделе, посвящённом особенностям защиты IAG 2007, мы рассмотрим следующее:
Брандмауэр ISA устанавливается на все устройства IAG 2007. Этот брандмауэр прилагается, потому что IAG 2007 устроен как оконечное устройство. Для успешного использования в качестве оконечного устройства IAG 2007 нуждался в мощной защите брандмауэром, который защитит и сам IAG 2007 и другие хосты, находящиеся за модулем IAG 2007. Что может быть лучше Брандмауэра ISA? Зайдя на сайт http://www.secunia.com/, вы не найдёте ни одного факта, говорящего против Брандмауэра ISA, в отличие от большинства «аппаратных» брандмауэров. Это делает Брандмауэр ISA, пожалуй, самым надёжным на рынке сегодня.
Рисунок 5
Одна из целей решений SSL VPN – возможность доступа отовсюду. Несмотря на то, что повсеместный доступ даёт бизнесу преимущество, позволяя служащим получать информацию гораздо быстрее, чем с помощью других решений, тем не менее, доступ отовсюду – очень небезопасное устройство. Позволить доступ отовсюду — значит позволить доступ с любого компьютера с Интернет-соединением, браузером и исходящим доступом через порт 443 TCP к шлюзу SSL VPN.
Подумайте о типах устройств, которые могут быть использованы для подключения к корпоративным ресурсам по сценарию повсеместного доступа:
Сценарий повсеместного доступа требует наличия у нас средства против утечки информации на эти незащищённые устройства. IAG 2007 решает эту проблему с помощью своего приложения Attachment Wiper. Цель Приложения Wiper – гарантировать то, что информация, к которой есть доступ во время сессии работы в SSL VPN, недоступна для других пользователей поле завершения сессии.
Приложение Wiper имеет следующие функции:
Также стоит учитывать, что Приложение Wiper производит полное стирание файлов автоматического установления исходящего соединения (DoD). Происходит полное удаление этих файлов с диска, в отличие от других решений, которые удаляют файл, но оставляют на диске фактические данные файла.
В отличие от брандмауэра ISA Firewall, который поддерживает только аутентификацию Active Directory (если вы не используете RADIUS), шлюз IAG 2007 поддерживает широкий массив протоколов аутентификации и провайдеров аутентификации. LDAP поддерживается для всех типов провайдеров аутентификации, а не только для Active Directory. Многие другие провайдеры аутентификации поддерживаются в использовании различных протоколов аутентификации, как видно на рисунке ниже.
Важно, чтобы брандмауэр ISA Firewall был установлен в блоке IAG 2007, поскольку он используется для защиты ядра программного обеспечения IAG 2007, а также, лежащей в основе, операционной системы Windows. Когда брандмауэр ISA Firewall установлен в блоке IAG 2007, лежащая в основе, операционная система Windows защищена от вредоносных действий. У взломщика нет никакой возможности доступа ни к одной из частей ядра операционной системы Windows, если установлен брандмауэр ISA Firewall.
Это означает, что даже если есть какие-то используемые компоненты в операционной системе Windows, никакой взломщик не сможет добраться до них. Представьте брандмауэр ISA Firewall как гору над защищённым бункером. Эта гора оберегает от ядерных атак, даже если атомная бомба сброшена прямо на крышу бункера. Именно брандмауэр ISA Firewall способен защитить ядро операционной системы Windows и программное обеспечение IAG 2007 от всех возможных атак и всех видов взломщиков.
Конфигурации IAG 2007 и ISA Firewall тесно интегрированы. Когда вы создаёте порталы и задаёте настройки для провайдеров приложения на IAG 2007, то эта информация используется для автоматической настройки политики ISA Firewall, чтобы предоставить доступ с минимальными привилегиями необходимым устройствам и службам. Вам никогда не придётся заходить в консоль ISA Firewall, если, конечно, вы не используете брандмауэр ISA Firewall для целей, не связанных с IAG 2007, например, настраивание удалённого доступа к серверу VPN, или к шлюзу VPN с использованием протоколов PPTP или L2TP/IPSec VPN.
На рисунке ниже показан целый ряд правил, автоматически созданных устройством IAG 2007.
Рисунок 6
Протокол аутентификации и поддержка провайдера включают:
Когда выбран пункт «Другое», вы можете конфигурировать требования для вашего протокола аутентификации и провайдера в консоли IAG 2007. Такая гибкость позволяет IAG 2007 поддерживать практически любой протокол аутентификации и провайдера, которые доступны сегодня.
Одна из двух вещей, которая выделяет шлюз IAG 2007 SSL VPN среди других SSL VPN- решений, – это защита, обеспечиваемая возможностями проверки на уровне приложений позитивной и негативной логической фильтрации. Никакая другая SSL VPN а настоящий момент не имеет таких усовершенствований и надёжности на уровне приложения.
Большинство сетей SSL VPN предлагает лишь ограниченную поддержку проверки на уровне приложений. Та проверка, которую они предлагают, ограничена сигнатурами, которые вы создаёте сами, и которые используют негативную логику (наподобие Фильтра защиты HTTP брандмауэра ISA Firewall). Фильтр негативной логики блокирует действия на основе строки “known bad” («малоизвестно»). Если вы знаете строку или команду «малоизвестно», то можете настроить фильтр негативной логики, чтобы защитить себя. Проблема фильтров негативной логики в том, что они защищают только от известных действий. Вы можете узнать, как защититься от внезапных действий.
Вот где в игру вступает высокая интеллектуальность уровня приложений IAG 2007. В дополнение к фильтрации негативной логики, применяемой другими SSL VPN шлюзами, IAG 2007 также имеет очень мощную систему фильтрации положительной логики. Позитивная логика диктует, что лишь «хорошо известные» связи разрешены опубликованному приложению. Фильтрация позитивной логики возможна только, если система имеет глубокое понимание приложения.
К примеру, когда вы публикуете Outlook Web Access или SharePoint, используя IAG 2007, автоматически применяются фильтры позитивной логики. Эти фильтры базируются на длительном исследовании для определения, какой легальный трафик необходим для функциональности системы.
Если имеется совпадение на фильтре негативной логики, соединение блокируется. Если нет совпадения на фильтре позитивной логики, то соединение обрывается. Объединив фильтрацию позитивной и негативной логики, IAG 2007 защищает вас не только от известных действий, но и от внезапных атак.
На рисунке ниже показан пример того, как задаются настройки усовершенствованных фильтров RegEx прямо из окна базовых компонентов конфигурации IAG 2007. Это такие компоненты, как сам сайт портала Whale, внутренний сайт Whale, Контролёр событий Whale.
Рисунок 7
Рисунок ниже показывает сложную фильтрацию позитивной и негативной логики, применяемую для опубликованного сайта OWA. В отличие от Фильтра защиты HTTP брандмауэра ISA Firewall, который блокирует только на основании особых строк, IAG 2007 использует действенные обычные выражения для сокращения количества правил, а также допускает сигнатуры «блокировать» и «позволить». Для OWA и других приложений, которые поддерживаются прямо из окна отчёта уже настроенной фильтрации позитивной и негативной логики, от вас не требуется вникать, что нужно сделать для защиты приложения.
Рисунок 8
Главная техническая проблема, связанная с предоставлением безопасного удалённого доступа к внутренним приложениям через Интернет, — это внутренние адреса в приложениях, которые могут быть доступны внешним пользователям.
В данных, кодах и ссылках могут применяться условные системные обозначения, которые не работают из внешних местоположений. Хотя все SSL VPN-шлюзы предлагают технологию трансляции ссылки, алгоритм выполнения каждой трансляции уникален.
Механизм трансляция ведущего адреса в IAG 2007 шифрует всю информацию, относящуюся ко внутренней сети, так что внешние пользователи не могут увидеть чего-то, что помогло бы им осуществить атаку на внутренние ресурсы.
Внешние пользователи не могут увидеть названия внутренних серверов. Они не могут видеть путей доступа к серверам. Это препятствует использованию SSL VPN-соединения для разведки инфраструктуры внутренних сетевых серверов.
Чтобы не допустить помещения мандатов в кэш-память машины, подключённой к шлюзу SSL VPN, IAG 2007 использует мощную Технологию безопасного выхода из системы. Этот передовой метод был разработан Whale и использован IAG 2007 взамен Базовой аутентификации HTTP. Этот метод исключает возможность злонамеренного переноса информации на сессию другого пользователя.
Периоды бездействия необходимы для защиты компаний от пользователей, которые «забывают» выйти из системы в конце сессии. Однако эти периоды могут создавать неудобства легальным пользователям. К примеру, шлюз SSL VPN может автоматически выдворить пользователя из системы, в то время как он сочиняет длинное e-mail сообщение или заполняет большую анкету, и эти данные могут быть потеряны. Если вы были в такой ситуации, то знаете, какими злыми становятся пользователи, когда их выводят из системы после часа работы над сложным, подробным письмом боссу.
Для решения этой проблемы IAG 2007 использует неназойливый механизм, который предупреждает пользователей о том, что приближается время режима бездействия. Тогда у пользователя есть возможность предотвратить вывод его из системы, и он может продолжать работу над своим письмом или анкетой. Рисунок ниже показывает, как это выглядит глазами пользователя.
Рисунок 9
Whale также предлагает принудительную периодическую аутентификацию. Когда администраторское окно определённого периода исчезнет, пользователи могут заново ввести свои мандаты, чтобы продолжить работу. В этом случае они возобновят работу именно с того места, где прервались, даже если это не до конца заполненная анкета. В случае отказа выполнить аутентификацию, сессия будет завершена (активируется Приложение Wiper).
Периоды, используемые шлюзом IAG 2007, способны отличать автоматические запросы браузера от реальной активности пользователя. При отсутствии реальной активности пользователя сессия будет завершена, даже если приложение, с которым работает пользователь, применяет автоматические запросы на обновление (так делают Microsoft Exchange и Lotus Domino), чтобы постоянно иметь свежие данные на экране. Другие SSL VPN зачастую не могут отличить активность, исходящую от браузера, от активности пользователя, и такие сессии длятся в течение неопределённого периода.
Вторая технология, выделяющая IAG 2007 среди всех других SSL VPN-решений, — это улучшенная проверка конечной точки и контроль политики, основанный на проверке конечной точки.
Проверка конечной точки подразумевает оценку статуса состояния и конфигурации хоста, подключенного к шлюзу SSL VPN. Необходимость проверки конечной точки исходит из того факта, что клиенты SSL VPN – это зачастую неуправляемые компьютеры, подключенные к разнообразным небезопасным сетям и подверженные безответственным действиям злоумышленников.
ISA Firewall’ VPN Quarantine (Изолятор брандмауэра ISA Firewall) – это первый пример решения, предоставленного Microsoft, где используется технология защиты конечной точки. Целью изолятора ISA Firewall’ VPN Quarantine было помещать хост в ограниченную сеть, пока оценивается его статус безопасности и конфигурация. Если хост проходил проверки на безопасность, то ему открывали сетевой доступ. Если хост не проходил тесты, его оставляли в сети карантина. В то время как на бумаге всё было замечательно, на деле это выглядело куда печальней, поскольку ISA Firewall’ VPN Quarantine не был законченным продуктом. Чтобы этот продукт работал, вы были вынуждены покупать решение у третьей стороны или платить большие деньги программисту, чтобы он довёл продукт до ума, и ISA Firewall’ VPN Quarantine мог работать в вашей организации.
Другой пример проверки конечной точки – это продукт под названием Microsoft Network Access Protection (NAP), который будет включён в Longhorn. Основные принципы NAP схожи с теми, что использует ISA Firewall’ VPN Quarantine. Клиентов держат в закрытой сети до тех пор, пока не будет одобрен их текущий статус безопасности. Если клиент не проходит проверки, ему либо отказывают, либо ограничивают ему сетевой доступ. Однако, принятие NAP рискует быть неудачным по тем же причинам, что имеет ISA Firewall’ VPN Quarantine. Ибо может потребовать значительных вложений в приложения третьей стороны и помощь программистов, чтобы сделать его функциональным в вашей организации.
Если вы имели несчастье работать с другими шлюзами SSL VPN, то, вероятно, пришли к мнению, что их методы проверки конечной точки напоминают ограниченную поддержку, предоставляемую изолятором ISA Firewall’ VPN Quarantine или текущей разработкой NAP. Вам придётся провести немало часов, в попытке разобраться, как заставить этот продукт работать в вашей организации, или же придётся нанять дорогостоящих консультантов и программистов.
Хорошо, что разработчики IAG 2007 сделали всю эту работу за вас. Вам не нужно тратить недели и месяцы, чтобы понять, как обеспечить выполнение функциональной политики проверки конечной точки в вашей организации, поскольку IAG 2007 «понимает» приложения и конфигурации, которые вы хотите проверить. Точно также как разработчики IAG 2007 сделали всю тяжелую работу, чтобы вы поняли, как работают приложения для осуществления фильтрации позитивной и негативной логики, они много работали, чтобы вы получили реально действующую политику проверки конечной точки и могли работать прямо в этом окне.
Взгляните на диалоговые окна настройки политики проверки конечной точки на рисунках ниже. Обратите внимание на то, что команда IAG 2007 выполнила эту сложную работу заранее, что позволяет IAG 2007 проверять эти функции. Сравните это с интерфейсами программ VPN-Q и NAP (а также с интерфейсами программ конкурентов IAG 2007). Вы подумаете, что нашли золото!
Рисунок 10
Рисунок 11
Рисунок 12
Однако, проверка конечной точки – только полдела. Остальная половина – это определение политики на основе статуса безопасности, проверенного по конечной точке.
В сетях производства вы, вероятно, установите более свободный доступ наиболее безопасным конечным точкам по сравнению с доступом для тех, что не проходят большинство проверок на безопасность.
Корпоративные политики безопасности, управляющие устройствами, которые подключены к шлюзу SSL VPN, обычно диктуют такие условия устройству, при которых пользователи могли бы выполнять особые бизнес-функции. Однако сети SSL VPN зачастую были неспособны полностью выполнять такие политики до появления IAG 2007. Вместо этого они предоставляли возможность ограничить доступ ко всем сессиям на основе условий конечной точки. По сути говоря, конкуренты IAG 2007 напрасно ограничивали доступ.
Например, если пользователи входили в SSL VPN с машин, незащищённых никакими антивирусными программами, то вместо того, чтобы позволить им скачивать и запретить пересылать файлы, пользователям либо совсем отказывали в доступе (что приводило к потере продуктивности и неудобствам), либо предоставляли системный доступ ко всем файлам (подвергая риску вирусного заражения системы). Кроме того, введение в действие особыми приложениями абстрактных понятий часто вызывало несовместимости с SSL VPN-сетями.
Например, нельзя было научить SSL VPN «блокировать загрузку приложений из e-mail сообщений», если стирание временных файлов не было гарантировано, или «игнорировать автоматические запросы обновления», когда рассматривалась активность пользователя с целью вычисления тайм-аутов сессии.
IAG 2007 предоставляет множество особенностей защиты, куда входят:
Таблица ниже показывает некоторые примеры того, как работает тесное взаимоотношение между проверкой конечной точки и политикой пользовательского доступа.
Таблица 1
Имеется множество политик конечной точки, установленных по умолчанию, которые настраиваются прямо из этого окна, как видно на рисунке ниже.
Рисунок 13
На рисунке ниже вы можете видеть, как модульная политика доступа на основе проверки конечной точки может быть применена к нескольким областям, а именно:
Рисунок 14
В этой статье мы рассмотрели особенности удалённого доступа и особенности защиты IAG 2007. Хотя любая SSL VPN предоставляет удалённый доступ через канал SSL, не каждая SSL VPN может обеспечить безопасный удалённый доступ. Нет никакого смысла в предоставлении удалённого доступа через сеть SSL VPN, если она небезопасна. Использование небезопасной SSL VPN приведёт лишь к тому, что взломщики очень скоро доведут ваш бизнес до банкротства. Шлюз IAG 2007 SSL VPN решает проблему безопасности удалённого доступа с помощью множества мощных средств защиты. Две особенности защиты, которые делают IAG 2007 вне конкуренции, – это расширенная проверка на уровне приложения позитивной и негативной логики для большинства бизнес-приложений, а также исключительная детекция конечной точки и механизм политики. Уже эти две особенности убедят вас в том, что IAG 2007 – самое надёжное SSL VPN-решение на рынке сегодня.
www.isaserver.org
Tags: cache, domain, Exchange, l2tp, ldap, linux, vpn