Віртуальна машина як засіб забезпечення безпечного віддаленого доступу.
Інший сферою застосування VPN є організація віддаленої роботи співробітників у корпоративній мережі. «Доступ звідусіль» давно став потребою багатьох мобільних користувачів, більше того, з'являється все більше підприємств, де частина співробітників працює віддалено, не виходячи з дому. І в тому і в іншому випадку як клієнтські комп'ютери можуть застосовуватися мобільні комп'ютери, що надаються співробітникам для роботи, але що залишаються у власності організації, або домашні комп'ютери, що знаходяться у власності співробітників. Однак за будь-якого способу організації праці повинен дотримуватися загальний принцип безпеки інформаційних систем, який полягає в тому, що безпека системи в цілому визначається безпекою найуразливішого компонента.
Слабка ланкаРівень захисту даних, що передаються по відкритих мережах, визначається протоколом, який використовується для створення VPN-з'єднання. Протоколи L2TP/IPSec і SSL/TLS, що застосовуються в даний час, забезпечують надійне шифрування даних, гарантію цілісності, а також взаємну автентифікацію комп'ютерів, що утворюють VPN-тунель. Але цей захист обмежується кінцевими точками VPN-тунелю і ніяк не поширюється на мережу за сервером VPN і клієнтські комп'ютери.
Корпоративна мережа може бути вразливою у різних місцях, але можна з великим ступенем достовірностіприпускати, що в самій організації прийнято та виконується політика інформаційної безпеки; сервери, робочі станції та мережеве обладнання обслуговуються кваліфікованими адміністраторами, які відповідають за свою роботу, тобто внутрішній захист мережі досить надійний.
Найбільші побоювання викликають клієнтські комп'ютери користувачів віддалено. Насамперед, не завжди є фізичний доступ до таких комп'ютерів. Крім того, адміністратор має можливість контролювати комп'ютери лише в той час, коли вони підключені до мережі організації, або локально, або віддалено. Якщо йдеться про корпоративні комп'ютери, то у адміністратора все ж таки зберігаються певні важелі впливу на конфігурацію безпеки. Адміністратор може стежити за актуальністю оновлень операційної системи та антивірусної програми, забороняти користувачам змінювати налаштування системи та встановлювати нові програми. Але навіть якщо прийнята сувора політика безпеки, служба технічної підтримки буває змушена повідомити співробітника пароль локального адміністратора, наприклад, для налаштування підключення до Internet з дому або для вирішення проблем, коли віддалене з'єднання недоступне.
Ситуація з домашніми комп'ютерами самих співробітників видається ще складнішою. З одного боку, після встановлення VPN-з'єднання клієнтський комп'ютер стає повноправним учасником корпоративної мережі, тому він має відповідати безпеці організації. З іншого боку, неможливо гарантувати, що домашні комп'ютери працівників відповідають усім прийнятим вимогам безпеки. Більше того, будь-які спроби підвести домашні комп'ютери під інформаційні стандарти підприємства будуть розцінені як необґрунтовані та викличуть заперечення та протидіюз боку власників. Як вирішити це протиріччя?
Мережевий карантинСьогодні мережевий карантин є стандартною методикою, що забезпечує технічний контроль стану клієнтських комп'ютерів під час встановлення VPN-з'єднання. Ця функціональність підтримується службою RRAS у Windows Server 2003. Мережевий карантин не допустить підключення до корпоративної мережі, якщо клієнтський комп'ютер не відповідає прийнятій безпековій політиці. У процесі підключення відразу після фази аутентифікації клієнтський комп'ютер отримує лише обмежений доступ до мережі. На комп'ютер завантажується сценарій, що збирає інформацію про конфігурацію, встановлені оновлення операційної системи, сигнатури антивірусної програми і т. д. Сценарій заздалегідь розробляється адміністратором сервера віддаленого доступу. Результат виконання сценарію передається серверу. Успішне виконання сценарію означає відповідність клієнтського комп'ютера поточній безпековій політиці, і, як наслідок, йому надається повний доступ до мережі організації. В іншому випадку слідує розрив віддаленого з'єднання.
Мережевий карантин є ефективним, але все ж таки заборонним заходом. Комп'ютер, який не відповідає вимогам безпеки, не отримає доступу до мережі, тому, з точки зору адміністратора, безпека мережі не буде порушена. Але з погляду користувача цього комп'ютера, запланована робота не буде виконана вчасно.
Віртуальні машини як засіб захистуІ все ж таки рішення існує. Відповідним варіантом у плані безпеки та зручності було б застосування на стороні клієнта двох окремих комп'ютерів із різними політиками безпеки. Один комп'ютер, з високими вимогами до безпеки, призначався б для роботи з корпоративними ресурсами, аінший використовувався б як звичайний домашній або особистий комп'ютер. Для підключення до Internet комп'ютери можуть спільно задіяти загальний канал доступу.
Ізоляція процесів у віртуальних машинах дозволяє реалізувати запропонований підхід у межах одного фізичного комп'ютера. Ідея поєднати технології безпеки та віртуалізації може здатися незвичайною, але вона не нова. На сторінках журналу вже розглядалися технічні рішення на основі віртуальних машин для роботи в корпоративних мережах з політиками безпеки, що не збігаються, і для безпечного доступу в Internet. Застосування віртуальних машин є корисним і в нашій ситуації: воно дозволяє витримати баланс між зручністю користувачів, що працюють на домашніх комп'ютерах, та безпекою. Розглянемо практичну реалізацію VPN-доступу з урахуванням віртуальних машин.
Співробітнику, який має працювати віддалено, передається попередньо налаштована віртуальна машина з встановленою операційною системою, VPN-клієнтом і прийнятим як стандарт організації програмним забезпеченням. Налаштування операційної системи та програм виконуються відповідно до політики безпеки організації. Також передається для подальшого встановлення на комп'ютер менеджер віртуальних машин, наприклад VMware Player. Усі необхідні налаштування мережі та VPN-клієнта у віртуальній машині зроблено заздалегідь. Від користувача потрібно лише встановити віртуальну машину на комп'ютер і запустити підключення до Internet. Користувач не має адміністративних прав на віртуальну машину і, отже, не може змінити конфігурацію мережі та налаштування безпеки.
Таким чином, віддалена робота користувачів підпорядковується тим же вимогам інформаційної безпеки, якби вонизнаходились у межах офісу. Зупинимося докладніше на технічному боці рішення, схема якого представлена малюнку.
Віртуальні машини встановлюються відповідно до прийнятої політики інформаційної безпеки підприємства. Дуже важливо передбачити використання лише складних паролів, не застосовувати для аутентифікації слабкі протоколи LM та NTLM та вимкнути зберігання хеш-функцій паролів LM.
Для запуску віртуальних машин у співробітників зручно користуватися безкоштовною програмою VMware Player. Вона здатна запустити віртуальну машину, підготовлену як у VMware Workstation, так і Microsoft Virtual PC. На жаль, менеджер віртуальних машин від Microsoft не підходить для нашого завдання. У реалізації NAT у Microsoft Virtual PC 2004 є помилка, що призводить до некоректної обробки фрагментованих IP-пакетів. Це відбивається на продуктивності мережі у гостьовій операційній системі. Помилка не виправлена і в Service Pack 1 для Virtual PC 2004, тому залишається сподіватися на наступні версії цього продукту.
Вибираючи програмне забезпечення для роботи у віртуальному середовищі, слід враховувати неминуче зниження продуктивності. Додаток, запущений у віртуальній машині, програватиме за швидкістю як мінімум удвічі в порівнянні зі звичайною апаратною конфігурацією. Крім того, багато мережних програм розраховані на пропускну здатність локальної мережі і не будуть нормально працювати через повільне підключення. У ряді випадків проблема вирішується шляхом організації термінального доступу, наприклад співробітник може підключатися до віддаленого робочого столу свого офісного комп'ютера.
В одному з номерів журналу вже розглядався процес базового налаштування сервера та клієнта OpenVPN стосовно Windows-платформи (див. статтю ДжефаФеллінга «Працюємо з OpenVPN»). Тому перерахуємо заходи, які посилять безпеку клієнта OpenVPN у гостьовій операційній системі.
З цією метою потрібно створити локальний обліковий запис, з реквізитами якого виконуватиметься служба OpenVPN Service. Введіть складний пароль, встановіть необмежений термін дії пароля та додайте обліковий запис до групи локальних адміністраторів. Призначення адміністративних повноважень для облікового запису служби не можна назвати вдалим підходом, але це єдина можливість, якщо у віртуальній машині інстальовано Windows 2000. Для Windows XP існує більш безпечне рішення. Необхідно надати облікового запису служби необхідні дозволи NTFS на папку, в яку були встановлені файли OpenVPN Service (за промовчанням %ProgramFiles%\OpenVPN). Як мінімум, потрібні дозволи читання на кореневу папку, всі підпапки та файли та дозволи запису на підпапку OpenVPN\Log. Додайте обліковий запис служби до локальної групи Network Configuration Operators. Тоді VPN-клієнт матиме можливість перебудовувати таблицю маршрутизації, але виконуватиметься з правами локального адміністратора.
Як додатковий захід безпеки можна відкрити консоль Local Security Policy і призначити для облікового запису привілей Deny access to this computer from network. У консолі Services налаштуйте запуск служби OpenVPN Service у контексті щойно створеного облікового запису.
Далі, використовуючи створений обліковий запис, зареєструйтесь локально у гостьовій операційній системі. Створіть папку, в якій буде розміщено закритий ключ клієнта OpenVPN. Встановіть атрибут Encrypt content to secure data.
Не виходячи із системи, перепишіть закритий ключ у зашифровану папку. Дуже важливо відразу копіювати ключ до папки, неДозволяється копіювати ключ у незашифровані області файлової системи, навіть якщо надалі він буде звідти вилучений. Також слід переписати у віртуальну машину сертифікати клієнта та центру сертифікації, але, на відміну від ключа, зберігати їх у зашифрованому вигляді не обов'язково. Нарешті, переконайтеся, що конфігураційний файл клієнта OpenVPN (файл з розширенням .ovpn, що знаходиться в папці OpenVPN\config) містить правильні шляхи до закритого ключа та сертифікатів, та перезапустіть службу OpenVPN Service.
Поверхня атакиРозглянута конфігурація стійка по відношенню до нецілеспрямованих атак. Наприклад, інфікування вірусом базової операційної системи не створює прямої загрози безпеці для віртуальної машини та її мережевого трафіку.
Більш серйозна небезпека виникає, якщо зловмисник зможе отримати у своє розпорядження файли віртуальної машини (щоправда, це більш ніж 1 Гбайт даних). Тоді, застосувавши одну з утиліт обнулення паролів у локальній базі SAM, він зможе зареєструватися у віртуальній машині як користувач або адміністратор та отримати вхід до корпоративної мережі. Якщо у віртуальній машині встановлена операційна система Windows 2000, можна навіть отримати доступ до закритого ключа клієнта OpenVPN.
Існує спосіб не допустити такого розвитку подій, і він полягає у застосуванні утиліти Syskey як засобу додаткового захисту системного ключа Windows. Ключ можна зберегти на дискеті або зашифрувати паролем. Залежно від того, який варіант був вибраний, під час завантаження віртуальної машини потрібно вставити дискету з системним ключем або ввести пароль з клавіатури. Без ключа завантажити віртуальну машину або отримати доступ до файлів, зашифрованих засобами EFS, буде неможливо. Застосування утилітиSyskey докладно описано у статті бази знань Microsoft KB310105 «Виберіть Syskey utility to secure Windows SAM database».
VMware ACEМожливо, навіть таке рішення здасться комусь недостатньо безпечним. Якщо необхідний вищий рівень захисту, має сенс скористатися комерційним продуктом VMware ACE. Він вирішує ті самі завдання – забезпечує стандартизований та безпечний вхід до корпоративної мережі з гостьових комп'ютерів. Абревіатура ACE означає «середовище довірчих обчислень». В основі продукту є технологія віртуальних машин компанії VMware. За допомогою VMware ACE Manager адміністратор створює проект, до складу якого входять віртуальна машина, програма для її запуску та керуючі політики. У свою чергу, віртуальна машина включає операційну систему, встановлені програми та дані. Далі на основі проекту створюються пакети ACE, які можуть бути завантажені через мережу або передані користувачам на будь-яких носіях.
У продукті VMware ACE застосовується така схема ліцензування. Комп'ютер, призначений для роботи з проектами та створення пакетів ACE, повинен мати ліцензію VMware ACE Manager. Для встановлення та запуску пакета ACE потрібно виділити на кожен комп'ютер за однією клієнтською ліцензією VMware ACE за ціною 99 дол. (без податків). А вартість продукту VMware ACE Starter Kit, що включає ACE Manager і чотири клієнтські ліцензії, становить 995 дол. Детальну інформацію про продукт VMware ACE, в тому числі технічні посібники, можна отримати на сайті компанії VMware: products/ace/ .
Домашня робота під захистом!З огляду на вимоги до захисту інформації та бюджетні обмеження, адміністратор спроможний вирішити, як побудувати доступ до корпоративної мережі з некерованихкомп'ютерів – на основі компонентів загального призначення або застосовуючи спеціалізовані продукти. Але в жодному разі безпека — не привід відмовлятися від домашньої роботи.
Автор: Олег Ржевський Джерело: Windows IT Pro, #01/2007 Оцініть статтю: