Удаленный доступ, корпоративные решения. Часть 1

Удаленный доступ, корпоративные решения

Часть 1

Сергей Рябко, генеральный директор компании "С-Терра СиЭсПи"

Доспехи ландскнехта и вооружение армии

В предыдущей статье ("Среда обитания и экипировка пользователя удаленного доступа") говорилось об удаленном доступе как таковом и об оснащении мобильного офиса наемника-одиночки. Теперь давайте станем на позицию офицера безопасности корпоративной сети, которому необходимо построить систему удаленного доступа. С этой позиции задача выглядит совершенно по-другому.

Вопрос первый: в какой мере могу я, офицер службы информационной безопасности, доверять пользователю? Ответ тут прост и однозначен: политика безопасности системы должна базироваться на весьма невысоком уровне доверия конечному пользователю. "Почему, откуда такая паранойя?" - спросит всякий нормальный человек. Вернитесь к началу первой статьи. Человек слаб, подвержен соблазну, причем необязательно корыстному - нанести вред компании... но, скажем, в отрыве от мира, в командировке, захочет посмотреть в Интернете живо интересующую его новость. Или у его жены день рождения и ему нужно срочно купить подарок в Интернет-магазине - а ведь это ареал злоумышленников, мастеров фишинга и любителей spyware. В перечисленных случаях не менее 60% добросовестных пользователей отключат предписанную корпоративной политикой безопасности защиту. Учтите при этом, что ваш пользователь находится за пределами контролируемой зоны, значит, злоумышленник может "подкатываться" к нему с атаками типа social engineering, общаться лично (а мошенничество это великое дело)... и что же в результате? Вы, офицер безопасности, сможете с риском для "погон" поручиться, что две-три сотни ваших удаленных пользователей устоят перед такими угрозами? Конечно, нет! А если так, то вы обязаны предположить, что ваш удаленный пользователь, вольно или невольно, будет "слабым звеном", которому вы не можете полностью доверить корпоративные информационные активы и вашу карьерную перспективу.

Таким образом, мы выяснили основное отличие политик безопасности при защите наемника и корпоративного пользователя. Наемник по своей инициативе защищает свое имущество и полностью отвечает за его безопасность. То есть в этом случае политика безопасности основывается на полном доверии к пользователю. По отношению же к корпоративному пользователю политика безопасности должна постулировать недоверие. Для специалистов это означает применение совсем других технических средств, а в переводе на язык денег звучит так: корпоративное решение стоит намного дороже.

Кстати, экономические аспекты корпоративного решения страшно отягощаются еще одним фактором: оно требует централизованной инфраструктуры управления, мониторинга, контроля технического состояния терминалов, единых мер аутентификации, контроля прав доступа при входе мобильного пользователя через различные "точки доступа" в систему. Такие инфраструктуры технически сложны, довольно дороги и требуют выделенного персонала для их эксплуатации, что стоит больших денег.

Итак, мы строим систему удаленного доступа, не доверяя пользователю. Как же быть? Постараемся ответить на этот вопрос, но прежде давайте разберемся с угрозами, исходящими от людей и от используемого ими оборудования.

Фортификация: оборонительный рубеж армии

Начнем с техники. Здесь есть два вопроса.

Вопрос первый: насколько вы можете изолировать сеть удаленного доступа от проникновения постороннего?

Чтобы показать основные опасности, ограничимся тремя диагностическими признаками неблагоприятной ситуации. Берегитесь, если:

• дизайн вашей сети удаленного доступа допускает прямой транзит открытого трафика между Интернетом и корпоративной сетью;
• в сети удаленного доступа не используется криптографические технологии;
• криптографический протокол не обеспечивает (или неадекватно обеспечивает) аутентификацию пользователей.

Последний тезис требует пояснения. Я неоднократно наблюдал системы удаленного доступа на основе протоколов SSL/TLS, в которых VPN-туннель создается либо на динамических ключах, либо на сертификате сайта, "вшитом" в браузер. В последнем случае браузер создает защищенный туннель; однако чтобы проверить, с тем ли сайтом соединен браузер, пользователь должен выполнить несколько дополнительных рутинных операций (проверить текст и контрольную сумму сертификата этого сайта). Пользователь, естественно, этого почти никогда не делает. Без этой проверки -взаимной аутентификации при установлении соединения нет, как и в случае использования динамических ключей. После того как SSL-туннель установлен, применяется дополнительная аутентификация, часто на одноразовых паролях. Такие системы до сих пор встречаются в системах электронных платежей, при управления счетами западных банков. Но кто сказал, что они безопасны? Туннель и последующая дополнительная аутентификация не связаны в неразрывный процесс. Вы установите туннель с врагом, он - как клиент - с банком, после чего он прозрачно ретранслирует пароли под прикрытием туннеля. Классическая атака man-in-the-middle ("человек посередине") - и ваших денег нет!

Вопрос второй: насколько вы контролируете конфигурацию мобильного (удаленного) терминала?

Дело в том, что если удаленный пользователь (или другой оператор, например, владелец гостиничного бизнес-центра, из которого производит доступ удаленный пользователь) может изменить конфигурацию, отменить механизмы безопасности, установить неконтролируемое программное обеспечение, то следует предполагать, что ваша корпоративная сеть может быть скомпрометирована. Это не означает, что такие неконтролируемые терминалы нельзя применять вообще. Но они точно не годятся для обработки конфиденциальной информации. И применять в таких системах можно только приложения/протоколы, устойчивые к передаче опасного кода, исключающие доступ к нецелевым ресурсам корпоративной сети. Примером такого решения является предоставление удаленному пользователю сервиса терминального доступа к неконфиденциальным ресурсам.

Рекогносцировка: данные о силах противника

Вернемся, однако, к политике безопасности. Кто у нас потенциальный злоумышленник? Что он может технически?

Ну, во-первых, мы не можем вполне доверять самому пользователю. Хотя строить политику безопасности на основе предположения, что все удаленные пользователи поголовно и стопроцентно злонамеренны, - тоже будет, пожалуй, перебор. Поэтому в ряде случаев политику безопасности можно строить на предположении, что удаленный пользователь неквалифицирован для эксплуатации средств защиты, что он бывает халатен, но прямого намерения атаковать компанию, в которой он работает, у него нет.

Другим злоумышленником в нашей модели должен быть пресловутый интернетовский хакер. Он точно злонамерен и отлично технически вооружен. Он может:

• "наломать" себе бот-ресурсов;
• владеть значительной вычислительной мощностью;
• долгое время наблюдать за корпоративной сетью, очень многое знать о ней, ее внутренних ресурсах и применяемых средствах защиты информации;
• активно применять против известных ему средств эксплоиты;
• забросить в сеть spyware, причем можно предполагать, что это будет не "массовый продукт", а "индпошив", и, следовательно, антивирусы и spyware-детекторы, весьма вероятно, его "прозевают".

Третьим (и наиболее опасным) типом злоумышленника является недобросовестный оператор связи (или хакер, "покоривший" коммуникационный ресурс). Дело в том, что "простой" хакер не контролирует весь трафик удаленного пользователя. Недобросовестный оператор связи в нашей модели обладает этой возможностью. Качественное различие здесь можно показать на следующем примере. Предположим, мой удаленный пользователь работает по открытому трафику, используя одноразовые пароли. Такие решения были повсеместно распространены 5-8 лет назад и кое-где эксплуатируются до сих пор. "Простой" хакер может перехватить единичный обмен. Но, получив одноразовый пароль, он вряд ли успеет его применить вовремя. Даже применив, компрометирует лишь одну сессию и не факт, что следующий пароль также достанется ему. Недобросовестный оператор связи будет получать все пароли, причем в реальном времени. Он может проксиро-вать сессии даже взаимной аутентификации, он владеет всеми сеансами, может модифицировать данные "на лету", по своему усмотрению отключать удаленного пользователя и выступать от его имени и т.п. И этот пример иллюстрирует только часть возможностей недобросовестного оператора связи... Беда! Может, вообще отказаться от сетей удаленного доступа?

Во второй части статьи мы постараемся прорисовать эскиз решения, устойчивого к атакам перечисленных нарушителей.

Комментарий эксперта

Светлана Конявская, к.ф.н., ОКБ САПР

К автору статьи - в представленной в данном номере части - невозможно не присоединиться во всех основных его утверждениях. Поэтому особенно интересно будет прочитать обещанный на следующий номер "эскиз решения". Отдельно хочется сказать об идее "вшитых" в браузер VPN-туннелей, справедливо критикуемой автором. Идея эта активно пропагандируется в переводных (и не только, к сожалению) статьях, ориентированных на администраторов (причем скорее на системных администраторов, чем на администраторов по безопасности информации). Однако в погоне за освобождением пользователей и администратора системы от разного рода дополнительных забот важно не забыть о цели внедрения того или иного решения, - возможно, еще удобнее и дешевле окажется вовсе отказаться от модификации и оставить все как есть, потому что, как верно показывает автор статьи, выигрыш в защищенности системы тут весьма сомнителен.

В связи с проблематикой контроля конфигурации удаленного (мобильного) терминала хочется заметить, что при использовании на нем механизмов доверенной загрузки - изменение аппаратной или программной составляющей терминала будет равнозначно его выходу из строя - он просто не пройдет контроль целостности, а средства разграничения доступа, если они правильно реализованы, могут гарантировать невозможность запуска никаких программ, кроме разрешенных, а их настройки могут быть изменены только администратором безопасности информации (в отличие от штатных средств ОС). Но не будем забегать вперед - "эскиз решения" анонсирован в следующем номере. Ждем с интересом!