При наличии тщательно разработанной стратегии вы можете обеспечить пользователям необходимый им удаленный доступ без каких-либо компромиссов в отношении защиты сети.


С ЧЕГО НАЧАТЬ
ВЫБОР ОПТИМАЛЬНОГО ПРОТОКОЛА
ЗАЩИТА СЕТИ
ХОЛОДНОЕ ЖЕЛЕЗО
УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ
ЗНАНИЕ, ДОБЫТОЕ С ТРУДОМ

Если вы еще не выработали детальную стратегию удаленного доступа для своей организации, то вашим компьютерным системам грозит серьезная опасность. Почему? Практически вне зависимости от того, запрещено это или нет, сотрудники обращаются к компьютерам в вашей сети, находясь дома или в дороге. С помощью программ удаленного управления они могут входить по незащищенным, нешифруемым соединениям Internet посредством программного обеспечения доступа по коммутируемой линии, тайно установленного на персональных рабочих станциях, или через модемы, оставленные подключенными к вашей телефонной системе на ночь. Каждый из этих неконтролируемых входов в систему является потенциально серьезной брешью в защите.

Какие же действия необходимо предпринять? К сожалению, одно вы точно не можете сделать - по крайней мере, не вызывая возмущения, - запретить доступ вообще. Сотрудники, в особенности те, кто в основном работает дома или подолгу бывает в командировках, рассматривают удаленный доступ не как привилегию, а как неотъемлемое право. Поэтому наилучший план действий не в отключении пользователей, а в выработке стратегии доступа, позволяющей выполнять свою работу, не ущемляя при этом интересов защиты сети.

С ЧЕГО НАЧАТЬ

Если раньше вам никогда не приходилось задумываться о проблеме удаленного доступа, то выработку стратегии лучше всего начать с опроса пользователей для выявления ресурсов, к которым им нужен доступ. Скорее всего, эти ресурсы будут включать электронную почту, файловые серверы и принтеры, системы коллективной работы, корпоративные мэйнфреймы и серверы баз данных. Кроме того, некоторые пользователи могут изъявить желание работать с программами удаленного управления для доступа к настольным рабочим станциям, в то время как другие пожелают использовать Internet, в особенности если это соединение Т-1 или более быстрое. Конечно, то, что пользователи хотят иметь доступ к определенному ресурсу, еще не означает, что вы должны его предоставить; доступ извне к некоторым важнейшим машинам и базам данных может понадобиться закрыть вообще.

Определив, к каким ресурсам необходим доступ, вы должны установить, каким образом пользователи будут подсоединены к сети. Если они звонят в течение относительно коротких интервалов времени и если им не нужна высокая пропускная способность, то аналоговые модемы представляются наилучшим решением. Они эффективны, дешевы и просты в использовании, а любая клиентская машина последней модели уже оснащена модемом. Аппаратное и программное обеспечение для модемных пулов широко доступно и недорого.

Если пользователям требуется более высокая пропускная способность или они работают на дому, то ISDN или frame relay на 56 Кбит/с могут оказаться предпочтительнее аналоговых модемов. (Чуть позже мы коснемся этого вопроса, пока же скажем, что так называемые

56-килобитные модемы нестандартизованы. Более того, они даже не работают на скорости 56 Кбит/с, поэтому относиться к ним необходимо со здоровым скептицизмом.) Если вам необходимо поддерживать работающих на дому с необычайно высокими требованиями к пропускной способности - например программистов, дизайнеров или администраторов Web, - то можете предоставить им более скоростные соединения посредством реализации беспроводной локальной сети, более быстрых соединений frame relay, ADSL или выделенных арендуемых линий.

Для пользователей, звонящих с другого конца страны или вообще из другой части света, доступ через Internet представляется более целесообразным. Однако ввиду плохой защищенности Internet вы должны будете предпринять дополнительные меры защиты, например применять идентификацию и шифрование.

Весьма вероятно, что ни одна стратегия доступа не удовлетворит потребности всех и каждого, так что ваша архитектура будет скорее всего представлять собой смесь различных схем. Поэтому оборудование и протоколы надо выбирать с таким расчетом, чтобы созданная на их основе архитектура была в состоянии удовлетворить все запросы. (В Таблице 1 приведены различные методы удаленного доступа вместе с приложениями, для которых они наилучшим образом подходят.)

ТАБЛИЦА 1 - МЕТОДЫ УДАЛЕННОГО ДОСТУПА

Метод
Длительность соединения
Пропускная способность
Аналоговый модем
Короткая - при междугородней связи; любая - при местной связи.
Низкая
ISDN
Короткая - при междугородней связи; любая - при фиксированной ставке.
Умеренная
frame relay
Непрерывное соединение
От умеренной (56 Кбит/с) до высокой (T-1)
ADSL
Непрерывное соединение
От высокой до очень высокой
Беспроводная связь
Непрерывное соединение (при прямой видимости)
От высокой до очень высокой

ВЫБОР ОПТИМАЛЬНОГО ПРОТОКОЛА

В любом случае ваша архитектура должна включать комплект низкоуровневых сетевых протоколов, достаточно надежных и гибких для обслуживания различных методов и приложений удаленного доступа. Если сеть вашей организации представляет смесь сетей различных подразделений, развивавшихся изначально самостоятельно, то они могут и не иметь общего языка. На практике у вас может быть полдюжины комплектов протоколов только для передачи данных.

В этом случае самое время взяться за гуж, т. е. за стандартизацию. Если даже сеть вашей организации пока не имеет маршрутизаторов, шлюзов, брандмауэров, соединений между локальными сетями через глобальную сеть, в предвидении всего этого вам лучше заранее позаботиться о выборе хорошо маршрутизуемого и масштабируемого протокола. Избегайте таких примитивных протоколов, как NetBIOS, NetBEUI и AppleTalk, потому что они разрабатывались отнюдь не для применения в корпоративных сетях. Если какая-либо из локальных сетей использует NetWare, то рассмотрите возможность применения TCP/IP вместо собственного протокола Novell IPX/SPX, поскольку первый предлагает гораздо больше вариантов маршрутизации. Если вы тем не менее вынуждены применять закрытые или нестандартные протоколы - например, если вы приобрели серверы печати для NetWare независимых производителей - изолируйте их в пределах отделения или подсети и разработайте долгосрочный план постепенного их вытеснения.

Все вышесказанное справедливо не только для транспортного и нижележащих уровней, но и для прикладного. При выборе протоколов прикладного уровня предпочтительнее решения, базирующиеся на отраслевых стандартах, поскольку в этом случае вы не будете зависеть от конкретного поставщика. Хотя закрытые протоколы для разделения файлов и печати в Windows 95 и Windows NT используются в сетях отдельных подразделений и рабочих групп, они не подходят для применения в масштабах предприятия. Одна из причин здесь в том, что NetBEUI немаршрутизуемый протокол. Кроме того, такие протоколы являются частью стратегии Microsoft по "захвату" настольных систем, поэтому их использование привяжет вас к платформам операционных систем Microsoft. Чтобы не стать заложником одного производителя, лучше применять такие широкораспространенные протоколы, как сетевая файловая система NFS и стандартный отраслевой протокол для совместной печати lpr/lpd. Когда Microsoft поднимет цены на Windows или Office или откажется поддерживать имеющееся оборудование, вы будете рады, что не связали себя ограничениями.

Аналогично, нестандартным системам электронной почты, в частности Microsoft Exchange или cc:Mail и Notes компании Lotus, следует предпочесть по возможности почтовые системы, отвечающие таким стандартам Internet, как SMTP, POP3 и IMAP. Нестандартные почтовые системы требуют применения шлюзов и поддерживают лишь небольшое количество аппаратных платформ.

Стандартные протоколы есть и для других распространенных операций в сети, например ftp и эмуляция терминала мэйнфрейма TN3270 (несмотря на то что он эмулирует устаревший терминал, TN3270 более чем адекватен для доступа к программам на мэйнфрейме по сети TCP/IP). Для доступа к базам данных можно использовать Web: практически любая программа управления базой данных имеет теперь внешний интерфейс для доступа и ввода данных через обычный браузер Web. (В Таблице 2 перечислены открытые протоколы для удаленного доступа.)

ТАБЛИЦА 2 - СТАНДАРТНЫЕ ПРОТОКОЛЫ УДАЛЕННОГО ДОСТУПА

Приложение
Протокол
Базовый транспорт
TCP/IP
Модемное соединение
PPP, SLIP
Электронная почта
SMTP, POP3, IMAP
Терминальный доступ
telnet
Передача файлов
ftp
Разделение файлов
NFS
World Wide Web, внутренняя документация
HTTP
Доступ к базам данных
Через HTTP или прилос базой данных со средствами соединения TCP/IP
Доступ к мэйнфрейму
TN3270
Удаленная печать
LPR/LPD

ЗАЩИТА СЕТИ

Выбор стандартных протоколов гарантирует, что пользователи получат доступ в сеть, однако гарантировать, что кто-либо иной не сможет сделать то же самое, они, увы, не могут. Поэтому при разработке стратегии удаленного доступа системе защиты сети следует уделить особое внимание, ведь она при всем при том ни в коей мере не должна представлять неудобства законным пользователям.

При создании системы защиты вы должны первым делом оставить только одну точку входа в сеть для данного узла. Это снижает шансы злоумышленника, что он сможет проникнуть через черный ход (например, через подключенный к телефону сотрудника модем с помощью программы удаленного доступа). Пользователи обычно соглашаются с этим при условии, что у них не возникает проблем с доступом. Установите программное обеспечение для протоколирования доступа, ограничьте время доступа пользователей рабочими часами и обращайте внимание на очевидные признаки злонамеренных действий, например, несколько одновременных входов одного удаленного пользователя.

Установите также систему идентификации. Если вы используете идентификацию на основе пароля, то ваша система не должна разрешать пользователям задавать пароли, представляющие слово какого-либо языка, имя и т. п. Такие пароли делают вашу систему незащищенной даже перед малоопытным злоумышленником. Идентификация с помощью обратного вызова по коммутируемой линии весьма желательна, впрочем, как и применение протокола идентификации по паролю PAP, протокола идентификации по квитированию вызова CHAP (два протокола идентификации для PPP) и идентификатора абонента.

Если вы разрешаете пользователям доступ в сеть через Internet, то тогда применяемая схема идентификации должна быть такова, чтобы пароли не передавались в открытом виде по сети. Вы можете, например, использовать закрытые схемы идентификации с однократно генерируемыми паролями; тут подойдет, кстати говоря, такая широкоизвестная программа, как S/Key или электронные аппаратные ключи, устройства размером с кредитную карточку для генерации паролей на лету (эти устройства нестандартизованы, так что, как и при выборе любого решения одного поставщика, здесь следует быть осторожным).

Мы бы рекомендовали вам рассмотреть и применение такой эффективной схемы защиты информации, как Kerberos. Она была разработана в Массачусетском технологическом институте для использования в сетях, где не исключено подслушивание. Служба удаленной идентификации пользователей по коммутируемым линиям RADIUS является весьма популярной схемой идентификации, причем в скором времени она может быть принята в качестве стандарта Internet. Кроме того, RADIUS взята на вооружение многими поставщиками программного и аппаратного обеспечения. Еще одна схема идентификации - система управления доступа к контроллеру доступа к терминалу TACACS - была разработана BBN. TACACS - это стандарт Internet, однако ее исходная версия чрезвычайно примитивна, а такие схемы, как XTACACS и TACACS+, не пользуются широкой поддержкой. В частности, TACACS+ принадлежит Cisco Systems. Разработка Microsoft, под непритязательным названием "еще один протокол идентификации", или YAAP, также не нашла широкой поддержки, а кроме того, на момент написания статьи она не имела коммерческих реализаций. (В Таблице 3 приводятся распространенные схемы идентификации.)

ТАБЛИЦА 3 - МЕТОДЫ ИДЕНТИФИКАЦИИ

Имя
Разработчик
Источники
Комментарии
PAP/CHAP
Cisco, другие
Многочисленные
Базовая идентификация для соединений по PPP, желательно дополнить Kerberos или RADIUS.
S/Key
Многочисленные
Internet
Простой генератор одноразовых паролей для Unix и серверов терминалов.
Kerberos
MIT
Многочисленные
Доступен на большинстве машин Unix, комплект инструментальных средств идентификации общего назначения для незащищенных сетей.
RADIUS
Livingston Enterprises
Shiva, CheckPoint, Cisco, Merit и другие
Предназначен в первую очередь для пользователей, входящих сеть по телефонной линии, но может применяться для идентификации в масштабах предприятия. Предложен в качестве стандарта Internet, много хороших реализаций. Может использовать Kerberos в качестве базы данных.
TACACS
BBN
Многочисленные
Единственная схема идентификации, принятая в качестве стандарта Internet.
XTACACS
IETF
Shiva, Ascend и другие
Добавляет функции отчетности к TACACS. Расширения могут отличаться у разных поставщиков.
YAAP
Microsoft
Отсутствуют
Нестандартный, готовых реализаций нет.

Еще один совет: используйте брандмауэры для защиты важных участков сети. Например, если пользователям нужен доступ к электронной почте, но не к файлам, то брандмауэр поможет защитить эти более важные ресурсы. Брандмауэры могут оказаться полезными и в другом отношении, например уполномоченный сервер HTTP позволяет ускорить доступ к Web, и в то же время он скрывает документы вашего внутреннего сервера Web от посторонних глаз.

Наилучшая стратегия защиты - особенно если ваша стратегия удаленного доступа предполагает интенсивное использование Internet - состоит в применении программного обеспечения для шифрования каждого байта перед его передачей между вашей сетью и удаленным клиентом. При небольшом числе таких приложений для электронной почты еще не все платформы ими охвачены, так что вам, возможно, придется ограничить доступ из Internet или использовать специальные маршрутизаторы для создания виртуальных частных сетей.

ХОЛОДНОЕ ЖЕЛЕЗО

А как насчет аппаратного обеспечения удаленного доступа? К счастью, в этой области конкуренция весьма жесткая, поэтому в вариантах недостатка нет. Cisco, Bay Networks, Shiva, U.S. Robotics, Multi-Tech, Perle Systems, Black Box, Proteon, IBM, Cabletron Systems, 3Com и Ungermann-Bass - вот только некоторые, кто поставляет серверы под ключ для доступа по PPP.

Если для вас важна стоимость или если вы хотите иметь дополнительный контроль над тем, что имеете, то вы можете развернуть свой собственный сервер доступа по телефонной линии на базе ПК с использованием такой бесплатной реализации Unix, как Linux и FreeBSD. Причем вместе с этими ОС вы получите программное обеспечение доступа по PPP вместе с Kerberos, POP3, NFS и бесплатным Web-сервером Apache. Коммерческие провайдеры Internet предпочитают именно данный подход, поскольку при этом они могут получить исходные коды. Более того, он позволяет реализовать часто отсутствующие в готовых продуктах дополнительные функции, например ограничение на соединение по времени, подробные отчеты о пользователях и настраиваемые правила доступа.

Как всегда, избегайте по возможности нестандартных решений типа сервера NT RAS. Эти продукты предназначены специально для того, чтобы сделать пользователя зависимым от одного поставщика, операционной системы или комплекта протоколов. Здесь вы должны проводить очень жесткую политику. Поверьте на слово: тем администраторам, кто выбрал нестандартное решение, приходится в конце концов об этом сожалеть. Если закрытое решение поддерживается плохо или если сервер работает неправильно, то беды системному администратору не миновать.

То же самое справедливо для модемов: выбор продуктов, конкуренция среди которых высока, избавит вас от "пут" одного поставщика. При всей привлекательности монтируемых в стойку модемов со специальной управляющей объединительной панелью, их цена может вызвать апоплексический удар или, по меньшей мере, шок. Однако еще хуже то, что монтируемое устройство одного поставщика не подойдет для дорогостоящего шасси другого, так что при необходимости модернизации и замены вы будете привязаны к одному производителю. Таким образом, если есть настоятельная потребность управлять модемами удаленно или через SNMP, то можно последовать примеру многих операторов Internet - купить десяток или нужное количество недорогих "потребительских" модемов с тем же микропрограммным обеспечением и микросхемами, что и у более дорогих моделей, и поместить их в готовую стойку с источником питания. Такие стойки для владельцев досок объявлений и небольших операторов Internet производят Multi-Tech и Supra, они подойдут вполне и для корпоративных заказчиков. Стойки Multi-Tech поставляются даже с избыточными источниками питания.

Терминальные адаптеры ISDN и устройства доступа frame relay (FRAD) предлагаются по вполне конкуретным ценам многими производителями, причем они включаются зачастую непосредственно в сервер коммутируемого доступа. Главное, на что вам следует обратить внимание при выборе этих продуктов, это сжатие данных (ISDN и frame relay не имеют встроенных механизмов сжатия, но все последние модели модемов позволяют это делать) и возможность передачи голоса наряду с данными. Устройства frame relay стали обеспечивать передачу голоса совсем недавно, однако она позволяет значительно сэкономить на телефонной связи.

Так как же насчет нового стандарта модемов на 56 Кбит/с? Увы, во время написания статьи ничего определенного о том, насколько это будет эффективным решением для удаленного доступа по телефонным линиям, сказать было нельзя. Почему? Во-первых, несмотря на то что у пользователей по-прежнему останется возможность доступа в сеть по обычным телефонным линиям, в офисе вы будете вынуждены установить специальные цифровые модемы и дорогостоящие линии ISDN или T-1. Во-вторых, максимальная скорость передачи данных такими модемами составляет 53 Кбит/с, а не 56, да и то только в одном направлении. В другом направлении максимальная скорость колеблется в диапазоне от 28 Кбит/с до 33,6 Кбит/с - ничуть не быстрее обычного модема V.34. Наконец, единого стандарта на подобные модемы пока нет - их по крайней мере два: от Rockwell и от U.S. Robotics. Лучше не ставить ни на одну лошадь, чем на заведомого аутсайдера.

УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ

Возможно, наиболее сложные составляющие стратегии удаленного доступа - это оснащение, обучение и поддержка пользователей. Программное обеспечение удаленного доступа не отвечает принципу "включил и работай", а встроенное программное обеспечение в некоторых операционных системах, в частности Windows 95, может довести удаленных пользователей до приступа бешенства. Наилучший способ решения этой проблемы состоит в организации обучающих классов для потенциальных удаленных пользователей. Такие классы должны обучать правилам настройки, защиты и доступа. Если ваши внутренние ресурсы позволяют это сделать, то создание "загрузочного диска" для конфигурации клиентских систем, работающих со средствами удаленного доступа, было бы весьма желательно. Создание такого диска процедура довольно тривиальная, любой более-менее компетентный программист справится с такой задачей без труда, а это даст возможность избежать сотен звонков.

Когда стратегия защиты проработана, управлять пользователями гораздо проще. Если вы остановились на системе защиты (такой как TACACS, RADIUS или Kerberos), администрируемой с одного центрального сервера, то управление доступом в этом случае скорее удовольствие, нежели обязанность. Одна хорошо защищенная база данных позволит определить ресурсы, к которым тот или иной пользователь имеет доступ; причем запрет на доступ или удаление информации из базы данных о недавно уволенном или ушедшем сотруднике можно будет произвести всего одной командой. С другой стороны, если доступ к различным системам предоставляется на индивидуальной основе, то вашему персоналу придется провести часы по блокированию или разблокированию доступа для конкретного пользователя, причем им вряд ли удастся избежать ошибок.

Другим важным аспектом управления пользователями является создание системы отчетности для контроля доступа и определения тенденций. Отчеты помогут, например, обнаружить аномальное поведение, а также определить необходимое число телефонных линий.

ЗНАНИЕ, ДОБЫТОЕ С ТРУДОМ

Каждая организация имеет свои особенности и, соответственно, требования: все проблемы удаленного доступа невозможно решить лишь при помощи одного метода. Однако руководствуясь приведенными рекомендациями, вы можете разработать вполне приемлемую стратегию в области удаленного доступа. Несомненно, система будет совершенствоваться по мере приобретения вами опыта, но исходная точка может сыграть здесь решающую роль. В конце концов, организация, не имеющая стратегии удаленного доступа, подвергается серьезной опасности потерять все, что она имеет.


Брет Глас - автор и консультант. Он является председателем коллективной сети LARIAT. Кроме того, Глас работал с IBM и Texas Instruments над спецификацией IEEE 802.5 Token Ring, а также над первой микросхемой для Token Ring. С ним можно связаться по адресу: brett@lariat.org.

Поделитесь материалом с коллегами и друзьями