Система защищенного удаленного дотупа StoneGate SSL vpn

StoneGate SSL VPN – высокопроизводительное устройство, позволяющее обрабатывать одновременно от 01.01.01 пользователей. Для достижения целей высокой готовности оно может быть установлено в отказоустойчивый кластер, включающий пару устройств.

Основное назначение подсистемы StoneGate SSL – позволить пользователям, у которых нет возможности установить дополнительное программное обеспечение (например, IPSec VPN-клиент) или задействовать отличные от HTTP(S) транспортные протоколы, а под рукой есть только интернет-браузер, защищенным образом получить доступ к необходимым ресурсам в соответствии с политикой безопасности. При этом устройством, с которого осуществляется доступ может быть как персональный мобильный телефон с интегрированным браузером и поддержкой Java, так и недоверенный интернет-киоск – в любом случае можно не волноваться за сохранность передаваемых данных и надежности доступа в рамках защищенного соединения.

Рисунок 1 - Архитектура решения

Применение решения обосновано несколькими факторами. Во-первых, необходимостью предоставления удаленного доступа для своих сотрудников и партнерских организаций к корпоративным ресурсам в противоречивых условиях, когда у предполагаемого пользователя, с одной стороны, нет доверенного аппаратного устройства и установленного необходимого программного обеспечения, а с другой, доступ должен быть реализован в точном соответствии с принятой политикой безопасности.

Зачастую такие ситуации случаются, когда сотрудник находится в командировке, когда доступ к почте нужно организовать с карманного компьютера или коммуникатора или киоска Интернет-кафе (где по определению отсутствуют сертификаты или VPN-клиенты). Другой сценарий – когда сотрудник находится на сайте у партнера или Заказчика, где открыт только гостевой доступ в Интернет посредством HTTP(S), а необходимо обеспечить соединение по другому прикладному протоколу (почта, файловый доступ, сетевой ресурс и т. п.).

НЕ нашли? Не то? Что вы ищете?

В этих условиях StoneGate SSL гарантирует защищенный удаленный доступ посредством реализации концепции «шести А»:

·  Assess – инспекция устройства, с которого осуществляется доступ (PDA, laptop, домашний компьютер и т. п.) для гарантий соблюдения корпоративной политики безопасности;

·  Authenticate – подтверждение личности пользователя (поддерживаются как статические пароли, так и более надежные сертификаты, а также одноразовые пароли – OTP - без необходимости использования дорогих в обслуживании аппаратных токенов);;

·  Authorize – контроль доступа к разрешенному списку ресурсов;

·  Access – создание защищенного виртуального соединения от точки доступа до ресурса;

·  Audit – отслеживание действий пользователей в рамках авторизованных соединений;

·  Abolish – уничтожение следов, оставшихся на устройстве пользователя после завершения защищенной сессии с целью исключения риска их компрометации злоумышленниками путем исследования (cookie, кэшированное содержимое, скопированные файлы и т. п.).

Так, инспекция устройства, с которого пользователь делает попытку доступа к корпоративным ресурсам, позволяет гарантировать его соответствие принятым правилам корпоративной политики безопасности (так, например, доступ через SSL может быть разрешен со смартфонов и коммуникаторов или ноутбуков с предустановленным специальным ПО, в остальных ситуациях в доступе может быть отказано или предоставлен ограниченный через IPSec VPN). В процессе проверки верифицируются:

·  установленные прикладные программы (например, персональный МЭ или антивирусные средства);

·  версия ОС и установленные патчи;

·  отсутствие шпионского ПО;

·  тип устройства (ноутбук, коммуникатор и т. п.);

·  сетевые настройки, включая установленные соединения;

·  работающие программы и запущенные процессы;

·  данные реестра.

В случае, если проверка завершилась неудачно, то в доступе отказывается или пользователь может быть перенаправлен на сетевой ресурс для загрузки обновлений.

http://www.portwise.com/solutions/TIMA/img/polscancomp.jpg

Рисунок 2 - Проверки пользователя при подключении

Глубина контроля может достигать не только отдельных файлов на диске устройства или записей реестра, но и списка запущенных процессов, а также установленных соединений. Причем проверки могут повторяться через заданное время с тем, чтобы гарантировать, например, что пользователь не отключил антивирус «за ненадобностью» в процессе работы и тем самым подвергает себя и корпоративные ресурсы, с которыми он работает, угрозе. Это отличает решение на фоне остальных, которые содержат ограничения по собираемым данным (например, только контроль файловой системы) и их периодического контроля.

В процессе аутентификации, которая наступает после проверки легитимности устройства, с которого пользователь осуществляет доступ, пользователь предоставляет свои учетные данные. Отличительной особенностью на фоне конкурентов, говорящих в пользу StoneGate SSL VPN, является поддержка более 15 сервисов аутентификации. В том числе решение поддерживает директориальные сервисы, включающие:

·  встроенный LDAP;

·  Microsoft Active Directory 2000;

·  Microsoft Active Directory 2003;

·  Novell eDirectory Server 8.7;

·  OpenLDAP 2.3;

·  Sun Java System Directory Server 5.2.

Более того, поддерживается технология «Federated Identity», которая базируется на открытом стандарте SAML и позволяет осуществлять кросс-аутентификацию пользователей при одновременной работе в разных IT-системах или организациях.

Отличает от других решений богатая поддержка SSO (Single Sign-On), когда пользователю не требуется повторно вводить учетные данные для доступа к запрошенному ресурсу (например, корпоративной почте после аутентификации на шлюзе доступа – он сам прозрачно подставляет данные пользователя для доступа к приложению).

Из остальных, поддерживаемых StoneGate SSL VPN методов аутентификации, среди стандартных, мультивендорных можно отметить:

·  SafeWorld

·  SecurID

·  LDAP

·  Active Directory

·  User Certificate

·  NTLM

·  General RADIUS

·  Extended User Bind

·  Form Based Authentication

·  Windows Integrated Login

·  BankID

·  BankID Signer

Здесь отдельно следует обратить внимание на поддержку сертификатов ключей пользователей и возможность использования как встроенных в ОС хранилищ, так и внешних, USB-токенов или смарт-карт. Более того, для активизации любого из методов аутентификации не требуется докупать каких-либо модулей или активационных лицензий (как в решениях ряда конкурентов).

Среди уникальных методов аутентификации следует отметить следующие, базирующиеся на стандарте RADIUS:

·  Mobile text;

·  Challenge/Synchronized (Mobile ID);

·  Web (Java hashing).

C:\Documents and Settings\penttil\Desktop\SSL Stone.gif

Рисунок 3 - Технологии Mobile ID (OTP на экране мобильного телефона)

Все они позволяют генерировать одноразовые пароли, что делает невозможным «подсматривание» или перехват этой информации при её передаче по назащищенным каналам связи.

Подобные методы позволяют значительно поднять стойкость аутентификации и, следовательно, защищенность корпоративных ресурсов путем синхронизации входа пользователя в систему путем предоставления своих учетных данных (что-то знает) и передачи запроса (наподобие PIN-кода) с помощью мобильного телефона (что-то имеет). К сожалению, подобные методы отсутствуют в решениях конкурентов.

Авторизация позволяет более тонко определять, какие пользователи к каким ресурсам имеют доступ. Среди параметров, на основе которых производится разграничение доступа, можно назвать следующие распространенные:

·  время;

·  принадлежность к той или иной группе;

·  выбранный метод аутентификации;

·  IP-адрес или тип устройства пользователя.

При этом ресурсами могут быть:

·  Web-приложения;

·  файловые ресурсы;

·  терминальные приложения;

·  любые клиент-серверные приложения.

При доступе, если он разрешен, пользователи получают в окне браузера свой личный, персонализированный в соответствии с ролью, портал (рис. 3). Каждый пользователь в зависимости от группы, к которой он принадлежит, получает доступ к своему персонифицированному порталу со списком ресурсов, к которым он имеет доступ. Список ресурсов может быть произвольным – начиная от Web-страницы интранет портала, заканчивая «самописными» нестандартными клиент-серверными прикладными программами.

В отличие от решений конкурентов, портал можно полностью изменить под нужды пользователя: всё, начиная от стилевого оформления и логотипов и заканчивая приветственным текстом и иконками, может быть изменено администратором. При этом на одном устройстве можно задействовать несколько независимых порталов, что позволяет для разных групп пользователей предоставлять разный набор несвязанных между собой сервисов в различном стилевом оформлении. При этом этот функционал входит в базовую лицензию и не требует дополнительной активации.

Для обеспечения высокой доступности решения можно установить пару устройств в кластер. Они будут полностью реплицировать конфигурацию и пользовательские сессии между собой, так что в случае выхода из строя одной из платформ, вторая прозрачным образом позволит продолжить работу. А в сочетании с технологиями балансировки нагрузки, встроенными в StoneGate Firewall, можно реализовать по-настоящему отказоустойчивое решение, когда сессии пользователей равномерно распределяются между устройствами кластера.

Рисунок 4 - Вид пользовательского портала

Отличительной особенностью решения StoneGate SSL VPN является встроенная полная поддержка:

·  Microsoft Terminal Services;

·  Microsoft Outlook;

·  Microsoft Outlook Web Access;

·  Domino Web Access;

·  Citrix MetaFrame.

В решениях конкурентов настолько широкая поддержка либо отсутствует, либо реализована не полностью (например, не «нативными» (native) средствами).

Реализация пользовательского доступа была бы неполной, если вся информация не попадала в отчеты. Журналирование всех действий позволяет обеспечить централизованную регистрацию всех событий о доступе к корпоративным приложениям и сервисам, что, в совокупности с единой интегрированной системой журналирования системы StoneGate Management Center (позволяющей также централизованно управлять многофункциональными межсетевыми экранами StoneGate Firewall/VPN и системами обнаружения и предотвращения вторжений StoneGate IPS), позволяет обеспечить недосягаемую в других решениях глубину и полноту хранимой информации.

Подсистема аудита также позволяет сделать исторический срез по любой совокупности факторов – пользователей или приложений и получить детализированные данные о том, кто, какие сервисы, когда и в каком объеме запрашивал.

Рисунок 5 - Виды отчетов

После завершения пользовательской сессии StoneGate SSL удаляет все следы, по которым злоумышленник может скомпрометировать корпоративные секреты. К списку подобных секретов относятся (эти компоненты отрабатывает Cache Cleaner):

·  cookie;

·  история URL;

·  закэшированные страницы;

·  записи реестра, относящиеся к работе браузера;

·  загружаемые компоненты браузера.

Более того, часть данных, которые пользователи загружают и сохраняют локально на своем компьютере во время сессии динамически может отслеживаться системой, и по окончании работы первых им может быть задан вопрос на предмет необходимости удаления конфиденциальной информации. Так, например, если пользователь работает из Интернет-кафе и читает корпоративную почту, то дополнительно можно поставить поставить мониторинг на все «.doc» и «.xls»файлы и, если таковые загружались или редактировались, будет выдан запрос, действительно ли их необходимо сохранить или удалить.

Поэтому при использовании этого решения можно уже не бояться, что какому-либо из сотрудников, находящемуся в командировке, потребуется получить доступ к корпоративным сервисам с недоверенного компьютера Интернет-кафе: все следы его пребывания будут надежно зашифрованы и впоследствии удалены.

Таким образом, отличительными особенностями решения StoneGate SSL VPN являются:

·  лицензия по принципу «все в одном»;

·  возможность создания отказоустойчивых конфигураций;

·  возможность создания нескольких независимых порталов на одном устройстве, каждый из которых будет иметь свои настройки;

·  возможность полного изменения внешнего вида (ребрендинг) портала под нужды Заказчика (включая стилевое оформление и используемые иконки);

·  большое количество «нативно» (native) поддерживаемых прикладных программ;

·  большое количество встроенных методов аутентификации, прозрачная интеграция с директориальными сервисами (например, AD);

·  встроенная поддержка SSO и Federated Identity;

·  встроенные уникальные методы одноразовой аутентификации, не требующие приобретения токенов или других аппаратных модулей генерации паролей;

·  интуитивно понятный интерфейс;

·  легкость администрирования и интеграция с системой управления другими решениями StoneGate (интеграция с SMC).