В таких случаях клиенты банков получают возможность удаленно управлять своими счетами. Однако самостоятельно прокладывать каналы связи к клиентам и даже просто арендовать их у операторов могут себе позволить далеко не все поставщики услуг. Если же переложить стоимость выделенного подключения на плечи заказчика, то услуга покажется ему просто «неподъемной».

Тем не менее банки и другие финансовые учреждения заинтересованы в предоставлении услуг как можно большему количеству частных лиц по технологии SSL-VPN. Решения SSL-VPN пользуются популярностью, поскольку SSL, подразумевающий использование электронных сертификатов для согласования алгоритма и ключей шифрования, является одним из старейших протоколов шифрования. Он поддерживается всеми Web-браузерами и, как правило, не требует установки дополнительного программного обеспечения.

Работать с ним могут практически любые клиенты, которые имеют подключение к Internet. Им не требуются особые настройки ПК для подключения к виртуальной сети доступа по SSL-VPN — достаточно признать ее сертификат. К тому же в этом протоколе уровни согласования ключей шифрования и создания шифрованного канала разделены, поэтому для защиты данных можно применять самые разные криптоалгоритмы. Главное, чтобы они поддерживались взаимодействующими сторонами.

Однако применение SSL на стороне сервера при массовом подключении пользователей вызывает определенные проблемы. Наиболее сложной из них является ограничение производительности, необходимой для шифрования потока данных. Сервер должен шифровать каждое соединение в отдельности и обеспечивать работу других приложений. Для шифрования по протоколу SSL разработчики средств защиты предлагают специализированные аппаратные решения, называемые шлюзами SSL-VPN. Они отвечают только за обработку криптоалгоритмов, снимая эту нагрузку с Web-сервера.

Такие устройства есть у Check Point, Symantec, Trend Micro, Citrix, Cisco, Juniper и других производителей. Купив компанию Whale Communications, корпорация Microsoft тоже получила подобное решение. Теперь оно называется Intelligent Application Gateway, но в Россию пока не поставляется. Оборудование этого класса обеспечивает управление сертификатами для SSL и шифрование каналов. Связь шлюза с Web-сервером, как правило, выполняется по открытым каналам, хотя можно задействовать и статические VPN-решения.

Решения SSL-VPN используются в трех режимах: защищенного доступа к Web-приложениям, защищенного удаленного доступа и полной защиты сетевого трафика. Первый вариант (самый распространенный) сводится к применению встроенных механизмов защиты браузера. Второй, как правило, реализуют с помощью специального Java-клиента, который связывается с сервером при помощи устройства SSL-VPN. Тогда шифрование выполняет уже Java-клиент, а браузер служит лишь для первоначальной загрузки и запуска клиентского приложения. Такую систему доступа иногда называют «виртуальным рабочим столом».

В третьем случае устанавливают клиентскую программу, которая закрывает весь сетевой трафик и передает его по протоколу SSL на корпоративный шлюз. Компании обычно устанавливают такую программу не клиентам, а собственным сотрудникам, которым требуется удаленный доступ с мобильного компьютера к корпоративным приложениям и Internet. Этот способ подключения, фактически, является разновидностью статического VPN-соединения, в котором для защиты трафика используется не IPSec, а SSL.

SSL позволяет использовать и российские алгоритмы шифрования, которые приняты в качестве стандартов IETF. В частности, компания Check Point совместно с отечественным разработчиком «Крипто Про» интегрировала в свой продукт SSL-VPN под названием Connectra алгоритмы шифрования, сертифицированные по ГОСТу. Правда, для использовании этих алгоритмов клиентам придется установить в своем браузере дополнительный модуль шифрования, реализующий ГОСТ на стороне клиента. Такое решение позволяет российским банкам предлагать услуги, соответствующие закону об ЭЦП.

В общем случае серверы SSL-VPN имеют средства управления доступом, которые (в зависимости от используемого способа подключения и уровня доверия к клиенту) могут ограничивать набор доступных приложений. Так, если пользователь подключился из Internet-кафе, то он, скорее всего, получит доступ только к корпоративной почте. Если же он подключился со своего компьютера, оснащенного антивирусом и последними обновлениями ОС, то по SSL-туннелю он сможет работать со всеми корпоративными приложениями.

«Хорошим тоном» для систем SSL-VPN является предварительная проверка клиентского компьютера на наличие антивируса, межсетевого экрана и других компонентов защиты, предписанных политикой обеспечения безопасности. Такая проверка выполняется специальным агентом, который анализирует состояние защищенности клиентского компьютера и передает данные на центральное устройство SSL-VPN для принятия решения об уровне доверия. В случае использования обычного браузера на клиентский компьютер может быть загружено специальное приложение. Оно проверит ПК на наличие троянских программ и клавиатурных шпионов и только затем разрешит пройти процедуру аутентификации. Этот же компонент уничтожит всю временную информацию на диске по завершении сеанса.

Решения SSL-VPN позволяют работать с очень широким кругом клиентов без установки дополнительных программ. В режиме полного шифрования сетевого трафика SSL-VPN практически не уступает по защищенности статическим VPN-решениями, основанным на IPSec. Некоторые устройства, такие как SSL-шлюз Connectra компании Check Point, позволяют использовать совместно оба протокола — SSL и IPSec. Поэтому решения SSL-VPN наверняка найдут свое место в большинстве корпоративных сетей.

Поделитесь материалом с коллегами и друзьями