Коммуникационные границы постепенно размываются: в бизнес-среде сети сотовой связи теперь используются не только для телефонных разговоров, но и для беспроводного доступа к корпоративным сетям. Благодаря современным технологиям провайдеры управляемых сервисов (Managed Services) посредством VPN интегрируют в корпоративные сети не только отдельных сотрудников, но и целые мобильные группы пользователей. Так, с помощью маршрутизатора UMTS к виртуальной частной сети можно подключить несколько компьютеров, ноутбуков или принтеров в качестве одной рабочей группы. В результате мобильные ресурсы получают в принципе тот же уровень защиты и такие же опции безопасности, как и клиенты сети с постоянными соединениями.
Как показывает опыт, настоящие проблемы с обеспечением безопасности таятся в другом и имеют физическую природу. Технология UMTS реализует шифрование передаваемых данных и обеспечивает вполне зрелую архитектуру безопасности, однако, когда маршрутизаторы UMTS применяются в транспортных средствах (к примеру, в автомобилях скорой помощи, в мобильном сервисном оборудовании или ином служебном транспорте), то вероятность их хищения — а значит, и угроза безопасности — резко повышается, если не предпринять никаких дополнительных защитных мер. Возможное решение этой проблемы — использование подключаемых непосредственно к маршрутизатору (через порт USB) так называемых токенов безопасности (Security Tokens), на которых хранится сертификат безопасности. Устройство удается включить, только если при запуске к нему подсоединен токен. В случае кражи маршрутизатора злоумышленник не сможет воспользоваться им без токена.
ТОКЕНЫ БЕЗОПАСНОСТИ В КАЧЕСТВЕ КЛЮЧЕЙ
Такую защиту можно реализовать в двух вариантах. В первом случае маршрутизатор реагирует на подключение и отключение токена, то есть самостоятельно загружает все свои настройки, а токен используется лишь для создания соединения в VPN, поскольку на нем хранятся параметры виртуальной сети. После успешного соединения сеть VPN разрывается лишь при удалении токена. Однако для этого метода характерно недостаточно интуитивное обслуживание. Велика вероятность того, что пользователь забудет токен в маршрутизаторе, даже если VPN уже давно не требуется. К тому же данный способ ограничивает использование таких функций, как телефония по IP, так как абонент будет доступен лишь при активированном маршрутизаторе и построенной виртуальной частной сети.
Решить эту проблему позволяет второй способ защиты маршрутизаторов, когда шифруются сами настройки и маршрутизатор без токена не способен прочитать собственную конфигурацию. Лишь при подключенном USB-токене он получает необходимые для этого сведения. После построения сети VPN пользователь может сразу же извлечь токен, поэтому риск того, что он будет забыт в устройстве, снижается. Соединение VPN разрывается только при прерывании подачи электроэнергии, к примеру, если маршрутизатор похищен. Данный метод позволяет обеспечить не только повышенную защиту в случае кражи: без достоверной информации о конфигурации несанкционированные пользователи лишаются доступа к сети VPN. Кроме того, не ограничивается возможность использования IP-телефонии на базе VPN.
БЕCКЛИЕНТСКИЕ VPN
Еще один способ привязки мобильных пользователей — создание бесклиентских VPN через SSL. Маршрут проходит через специализированный Web-портал провайдера. При авторизации на таком портале автоматически запускается виртуальный рабочий стол, а на физическом компьютере пользователя создается виртуальный раздел, где сохраняются все важные и, возможно, конфиденциальные данные этого соединения. После окончания сеанса раздел удаляется и на локальных жестких дисках не остается никаких следов. Еще одна дополнительная функция автоматически удаляет кэш браузера после завершения сеанса. Через данный Web-портал пользователь получает доступ к различным службам без необходимости предварительной установки специального программного обеспечения.
АУТЕНТИФИКАЦИЯ ПОРТОВ 802.1X
При использовании мобильных систем вероятность несанкционированного доступа всегда выше, чем в офисе, ведь для них можно лишь условно реализовать такие меры обеспечения безопасности, как ограничение доступа, идентификация пользователей и т. д. И снова на помощь приходят сертификаты в сочетании со стандартом аутентификации 802.1X. При использовании этого метода конечное устройство получает доступ к сети, только если обладает соответствующим сертификатом, который запрашивается коммутатором или маршрутизатором, как только устройство подключается к одному из их портов. После получения требуемой информации коммутатор верифицирует системный ландшафт через сеть VPN посредством дополнительного протокола аутентификации (к примеру, RADIUS) на сервере аутентификации, проверяя достоверность полученных данных. При поступлении подтверждения от сервера порт коммутатора включается, и конечное устройство устанавливает соединение. При отрицательном ответе порт остается деактивированным.
Персональная аутентификация на конечном устройстве посредством одноразовых паролей обеспечивает дополнительную защиту мобильных устройств. При этом для доступа к внутренним информационным системам тоже применяется токен, генерирующий динамические одноразовые пароли. Последние действительны лишь в течение ограниченного промежутка времени и отображаются непосредственно перед использованием токена. Даже если кому-то удастся перехватить пароль, никаких проблем не возникнет, так как действие пароля прекращается сразу после его использования.
КОНТРОЛЬ СЕТЕВОГО ДОСТУПА
Мобильное оборудование постоянно создает проблемы, когда речь заходит об установке заплат и обновлений, ведь оно подключено к сети не круглосуточно. Устройство для контроля сетевого доступа (Network Access Control, NAC) позаботится о том, чтобы бреши в безопасности все-таки не возникали. От агента, установленного на конечном устройстве, система NAC автоматически получает сведения о текущем статусе средств безопасности. К примеру, она проверяет, активировано ли антивирусное программное обеспечение, какие версии заплат установлены на операционную систему или какие ключи реестра имеются в наличии. Лишь после обновления и исправления всех параметров пользователю предоставляется доступ к сетевым ресурсам.
Еще одна возможность дополнить защиту мобильных устройств, прежде всего ноутбуков, — установить на них систему предотвращения вторжений на базе хоста (Host-Based Intrusion Prevention System, HIPS). Эти системы защищают устройства, на которых они установлены, проверяя с помощью системных вызовов (System Calls) выполнение файлов и приложений. По сути, HIPS подключается в качестве контролирующей инстанции между приложениями и операционной системой и проверяет корректность поступающих запросов. С помощью соответствующей системы администрирования управлять решениями HIPS на разных конечных устройствах можно централизованно — как управляемыми сервисами.
Будь то аутентификация, авторизация, управление учетными записями, использование токенов, аутентификация портов, системы NAC или HIPS, лишь продуманная комбинация сетевых инструментов и решений на базе хоста позволит обеспечить всестороннюю защиту мобильных устройств. Многообразие различных сценариев безопасности слишком велико для одиночных решений, и ИТ-специалистам не всегда удается реализовать их комплексно, поэтому следует рассмотреть возможность внедрения управляемых сервисов в виде целостного пакета.
Анна Риске — специалист по безопасности ИТ в компании BCC Business Communication Company.