Hozzáférés-szabályozás távmunkásoknak - információbiztonsági
Alex Andriyashin
Biztonsági tanácsadó
Check Point Software Technologies
belügyminisztérium
Dolgozók távolról az interneten, sokkal sebezhetőbb, mint a helyi felhasználó, és egy újabb potenciális veszélyt jelent a szervezet számára. a távoli felhasználók biztonságát, ezért különös figyelmet kapnak.
Az alapelvek az információbiztonsági
Technológiát építeni egy olyan távfelügyeleti rendszer
Az egyik legfontosabb eleme az építési távoli hozzáférés VPN technológia rendszerek. Az építőiparban a leggyakrabban használt biztonságos csatornákon IPsecVPN és az SSL (TLS) VPN. Ezekben megközelítések jelentős különbségek vannak, amelyek gyakran okoz vitát, mi az előnyös technológia. Azt javaslom, hogy fontolja meg röviden a különbség a két technológia.
IPsec protokoll működik a hálózati rétegben, míg az SSL és a TLS a szállítási rétegben. Még mindig emlékszem az építőiparban az OSI modell? Az viszont, IPsec-protokoll két osztályba sorolhatók: Key Exchange protokoll (IKE) és a védelmet a továbbított adatok protokollok (ESP és az AH). Amikor dolgozik a tűzfalon keresztül fontos, hogy helyesen beállítani a szűrési szabályok, hogy átmenjen egy protokoll csomagokat AH és ESP. Az AH protokoll ID - 51 és ESP 50 rendelkezik egy protokoll azonosítót (gyakran összekeverik a fogalmak a "protokoll azonosító" és "port"). Az is fontos, hogy ne felejtsük el beállítani a szabály, amely biztosítani fogja a munkát IKE protokoll. Ehhez meg kell nyitni UDP port 500.
A munka SSL VPN protokoll sokkal kevesebb akció, amikor beállítja a szabályokat a tűzfal, mert SSL működik a szállítási rétegben, és a leggyakrabban használt TCP 443 (HTTPS protokoll) port .Very gyakran ez a port nyitva van alapértelmezés miatt SSL VPN használja ezt azokban az esetekben, amikor nem tud szabni a szabályokat a tűzfalon. Ez a helyzet jellemző a bérelt helyiségeket, mint például a nagy bevásárló és üzleti központja. Másik jellemzője SSL VPN technológiát is, amelyek néha előnyt jelent - nincs szükség előre telepített VPN-kliens a munkahelyen. Tekintettel arra, hogy szinte minden böngésző támogatja a HTTPS, a technológia elterjedt. A távoli hozzáférés segítségével SSL VPN-átjáró, amelyen keresztül a felhasználó hozzáférést nyer a szükséges forrásokat.
Jellemzői VPN-technológiák Oroszországban
Ha beszélünk hazánkban, a következő tendencia nyomon követhető legyen. IPsec VPN olyan esetekben használjuk, ha az szükséges, hogy egy előre meghatározott VPN-kliens (ebben az esetben a felhasználó csatlakozik a laptop, hanem egy teljes eszközkészletet szüksége volt rá). Ez a megközelítés további biztonsági intézkedések: a teljes lemez titkosítását, antivírus, használat ellenőrzése perifériás port, azt a felhasználó azonosítása és további intézkedések. Akkor érhetünk el jelentős költségmegtakarítást, ha mindezen mechanizmusok fogják végrehajtani egy szoftver kliens.
Ha beszélünk hazánkban, a következő tendencia nyomon követhető legyen. IPsec VPN olyan esetekben használjuk, ha az szükséges, hogy egy előre meghatározott VPN-kliens (ebben az esetben a felhasználó csatlakozik a laptop, hanem egy teljes eszközkészletet szüksége volt rá).
Van egy megközelítés csatlakozni a távoli felhasználók számára, amelyben a felhasználó olcsón hardveres VPN-átjáró. Ez a módszer nem a mobilitás, de felmentették a szervezet állandó otthoni munkahely (homeoffice). De anélkül, hogy szabályozott antivírus itt is, mint tudjuk, nem lehet csinálni.
adathitelesítés
A hitelesítés során kapott információ ellenőrzése lépésben azonosító PIN-kód megadásával, biometrikus adatokat, jelszót vagy OTP (egyszeri jelszó). Ha a hitelesítés használhatja által kiadott digitális tanúsítványok a hitelesítő központ belső vagy külső PKI-infrastruktúra, és néhány hitelesítési eszközt.
Nagyon gyakran van olyan helyzet, amikor az egykori alkalmazottak a cég néhány (néha nagyon hosszú) ideig van a távoli forrásokhoz való hozzáférés. És néhány nem is ismeri ezt a lehetőséget, de ez nem létezik. Nem úgy néz ki, mint a jelen esetben a repülőtér és a kapcsolódó következményeket. Egy ilyen komoly probléma akkor fordulhat elő, ha nincs központosított rendszer információbiztonsági irányítási. Közvetve lehet beszélni a következő tényeket:
- a felhasználók a memóriában tárolt jelszavak 5-6 eléréséhez különböző források
- csatlakozni egy új alkalmazott számla és letiltja a fiók az elbocsátott munkavállaló tovább tart, mint egy nap;
- hozzáférést a bizalmas információkat nem korlátozódnak;
- akciók alkalmazottak, akik bennfentes információkhoz hozzáférő, nem ellenőrzik.
Ha legalább az egyik ilyen feltételek egyike teljesül, a cég komoly problémákat információbiztonsági egészére.
Így biztosítva a távoli hozzáférést az alkalmazottak csak abban az esetben, ha a bevezetett központosított biztonsági irányítási rendszer, van egy mátrixot a felhasználói hozzáférést a rendelt erőforrások felelős terjedésének semmilyen információt. Általában megoldotta az alapvető probléma az informatikai biztonság. Ebben az esetben az a feladata, távoli hozzáférés csak akkor lesz magánügy, amely nem igényel újjáépítése az egész cég információs rendszerének.