И, наконец, третья схема, к которой могут прибегнуть организации с ограниченными ресурсами, - брандмауэр устанавливается на одном компьютере с сервером ВЧС. При такой конфигурации машина направляет исходящий трафик ВЧС соответствующим получателям, а входящий - на расположенный тут же брандмауэр для анализа. Такой способ является наиболее экономичным, и его вполне можно рекомендовать для применения в интрасетях и для связи в пределах одной компании.

10 Выбор средств ВЧС

Абсолютная безопасность недостижима. Но точно так же нельзя полагать, будто существует абсолютная угроза безопасности. Виртуальные частные сети Microsoft на базе протокола PPTP с применением MPPE-шифрования обеспечивают весьма надежную защиту.

Заложенная в Windows 2000 поддержка протокола L2TP, полная защита канала связи по протоколу IPSec, применение протокола EAP в микропроцессорных карточках, сертификаты Kerberos - все это предоставляет сетевым администраторам богатейший выбор средств обеспечения безопасности, разработанных корпорацией Microsoft и рекомендуемых ею для развертывания виртуальных частных сетей.

10.1 Анализ угроз сетевой безопасности

Приступая к планированию виртуальной частной сети, сетевой администратор первым делом должен провести анализ угроз ее безопасности. Ему необходимо выявить наиболее уязвимые места сети, оценить вероятность различных видов атак на нее и возможные последствия взлома системы защиты.

В ходе анализа следует также учесть, что может понадобиться для внедрения той или иной системы. Скажем, развертывание полномасштабной инфраструктуры шифрования IP Security может потребовать замены всех компьютеров с процессорами 486 и ранних Pentium, которые не способны удовлетворить требования к производительности ЦПУ. А ведь применение IPSec может стать насущной необходимостью, если на серверах сети размещается конфиденциальная информация и высока вероятность попыток их взлома. В таких условиях капиталовложения в развертывание новой инфраструктуры будут вполне оправданными. Те же организации, которые особого интереса для хакеров и конкурентов не представляют, могут вполне ограничиться ВЧС на базе PPTP, не тратясь на модернизацию оборудования.

Благодаря поддержке протокола EAP, заложенной в Windows 2000, компании могут взять на вооружение системы безопасности с микропроцессорными карточками и жетонами аутентификации. Каждый пользователь такой сети получает небольшое устройство размером с кредитную карточку, которое открывает ему доступ в сеть с любого компьютера. Правда, и здесь дополнительный уровень защиты приходится рассматривать через призму повседневных проблем реального мира. Скажем, следует учитывать, что служащим свойственно забывать свои микропроцессорные карточки дома, а то и вообще терять их.

Неоднозначна и практическая оценка сертификатов Kerberos. Они создают дополнительную защиту сети и в ряде случаев без них просто не обойтись. Но неизбежно найдутся сетевые администраторы, которые не решатся взвалить на свои плечи такую сложнейшую задачу, как интеграция сети с инфраструктурой открытых ключей.

10.2 Безопасность и требования к паролю

Простота развертывания и управления, дополненная высочайшим уровнем безопасности и шифрованием данных по протоколу MPPE, - вот что делает виртуальные частные сети Microsoft на базе протокола PPTP одной из самых популярных сетевых сред. Конечно, каждому администратору приходится самостоятельно искать и находить именно ту систему, которая в наибольшей степени отвечает требованиям, выработанным в ходе анализа угроз сетевой безопасности. Однако большинство организаций, включая саму Microsoft, уже убедились в том, что ВЧС на базе PPTP обеспечивают высочайший уровень защиты информации и вполне подходят большинству компаний.

Аутентификацией по паролю, предусмотренной протоколом PPTP, управлять намного легче, чем системами на базе микропроцессорных карточек и сертификатов, но здесь есть свои подводные камни. Чтобы добиться безопасности своей ВЧС на базе PPTP (в дополнение к сетевым ресурсам), администратору нужно разработать правила использования паролей, предусматривающие:

применение только паролей Windows NT;

использование сложных символьных последовательностей (перемежающихся в случайном порядке строчных и прописных букв, цифр, знаков препинания) и определение минимально допустимой длины пароля;

регулярную смену пароля.

Хорошо продуманная политика в области безопасности должна также предусматривать и практические меры, способствующие ее выполнению. К сожалению, приходится периодически напоминать пользователям даже о том, чтобы они не демонстрировали свой пароль окружающим, оставляя его на экране монитора.

10.3 Возможности реализаций VPN на различных версиях Windows.

10.4 Часто задаваемые вопросы при выборе средств VPN

Есть ли различия в обеспечении безопасности удаленного доступа и доступа в ВЧС?

Конечно. Так, в виртуальных частных сетях ощущается гораздо большая потребность в шифровании. Здесь трафик проходит через Интернет, где вероятность его перехвата гораздо выше, чем в телефонных каналах. Чтобы подслушать телефонный разговор, достаточно получить физический доступ к кабелю или коммутатору телефонной компании. Конечно, бывает и так, хотя злоумышленнику приходится преодолевать значительные трудности. В Интернете же путь от PPTP-клиента к PPTP-серверу пролегает через множество промежуточных устройств (коммутаторов, серверов имен и так далее). А чем больше промежуточных звеньев, тем легче злоумышленнику проникнуть в одно из них, чтобы перехватить трафик данных или перенаправить его.

Немало найдется и таких хакеров, которые попытаются взломать сам сервер ВЧС, более уязвимый, чем сервер удаленного доступа по коммутируемым каналам. Это лишний раз подчеркивает важность аутентификации пользователей, подключающихся к серверу ВЧС, и необходимость применения надежных паролей.

Можно ли сказать, что ВЧС на базе IPSec безопаснее виртуальных сетей на базе PPTP?

Не обязательно. Какой бы протокол ни применялся, безопасность ВЧС на его базе зависит от многих аспектов практической реализации сетевых компонентов. Большинство современных реализаций IPSec поддерживают сертификаты открытого ключа и, теоретически, способны генерировать более стойкие ключи, чем механизмы на базе общих паролей. Однако почти все они полагаются исключительно на машинные сертификаты и, следовательно, не производят аутентификацию пользователя. То есть, доступ здесь предоставляется не пользователю, а машине, - кто же работает за ней в данный момент, никому не известно. Стандартное требование для доступа в ВЧС - обязательная проверка полномочий. Если сопоставить все эти положения, то становится ясно: в тех случаях, когда клиентский компьютер доступен более, чем одному пользователю, одних машинных сертификатов для управления доступом недостаточно - это создает брешь в системе обеспечения безопасности.

Можно ли сказать, что ВЧС на базе L2TP безопаснее виртуальных сетей на базе PPTP?

Тоже не обязательно. Как и в случае с другими средствами создания ВЧС, безопасность сетей на базе L2TP во многом определяется особенностями их практической реализации. Безопасность стандартных ВЧС такого типа достигается за счет применения протокола IPSec, который обеспечивает конфиденциальность и одновременно контролирует целостность сообщений. При этом, как правило, одновременно используется и аутентификация по протоколу РРР, которая позволяет проверить, кто именно подключается к сети. Следовательно ВЧС на базе L2TP с применением IPSec способны обеспечить надежную защиту информации в самых разных условиях.

Можно ли сказать, что межсерверные ВЧС безопаснее клиент-серверных виртуальных сетей?

В пользу межсерверных ВЧС говорит целый ряд факторов. Так, здесь могут использоваться более длинные, и к тому же кажущиеся бессмысленными, пароли - ведь они хранятся, как правило, на жестком диске, и их не нужно вводить вручную. Однако такие потенциальные преимущества в полной мере сказываются лишь в тех случаях, когда через серверы проходит весь трафик ВЧС. К тому же межсерверные системы предъявляют особо жесткие требования к физической защите серверов.

11 Создание виртуального частного подключения в Windows 2000

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13