Защита беспроводной корпоративной сети

На сегодняшний день все более широкое практическое использование находят беспроводные (Wi-Fi) внутриофисные (indoor) корпоративные сети. При этом корпоративная ЛВС может быть, как целиком построена на базе технологии WLAN (Wireless LAN), так и содержать в своем составе беспроводной сегмент (сегменты) корпоративной сети. При всех неоспоримых преимуществах технологии WLAN, связанных с передачей беспроводного трафика по радиоканалу, ее внедрение связано с возникновением источников угроз информационной безопасности, несвойственных проводным технологиям. Наличие подобных угроз при необходимости защищать конфиденциальную информацию, обрабатываемую в корпоративной сети предприятия (в сегменте сети), является существенным сдерживающим фактором практического использования Wi-Fi сетей в корпоративных приложениях. Рассмотрим одно из решений, позволяющих построить защищенную корпоративную VPN на базе технологии WLAN.

Начиная разговор о построении, либо об использовании средства защиты, прежде всего, необходимо определиться с областью его практического применения (для чего оно создано, как следствие, чем определяется его потребительская стоимость), т.к. именно область практического использования диктует те требования к системному средству, которые должны быть реализованы разработчиком, дабы повысить потребительскую стоимость данного средства.

Важнейшими условиями использования средств защиты в корпоративных приложениях является следующее:

• В данных приложениях априори присутствует конфиденциальная информация, требующая квалифицированной защиты;
• Критичным является не только факт хищения обрабатываемой информации, но и возможность ее несанкционированной модификации, либо уничтожения.
  Критичным в этих приложениях также становится вывод из строя системных средств на продолжительное время, т.е. важнейшими объектами защиты становятся не только информационные, но и системные ресурсы;
• Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (защищать требуется не его личную информацию), и вместе с тем, наличие администратора безопасности, основной служебной обязанностью которого является защита информации, т.е. именно для решения этой задачи он и принят на работу, который априори должен обладать высокой квалификацией, т.к., в противном случае, о какой-либо эффективной защите в современных условиях говорить не приходится;
• Все задачи администрирования средств защиты должны решаться непосредственно администратором;
• Недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, которая потенциально является "товаром", как следствие, пользователь должен рассматриваться в качестве потенциального злоумышленника (в последнее время, даже появилось такое понятие, как инсайдер, а внутренняя ИТ-угроза – угроза хищения информации санкционированным пользователем, некоторыми потребителями и производителями средств защиты позиционируется, как одна из доминирующих угроз, что не лишено оснований);
• В большинстве своем, обработка конфиденциальной информации осуществляется в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решения задачи администрирования безопасности локально на каждом компьютере - без соответствующего инструментария (АРМа администратора в сети).

Все сказанное относится к любому средству защиты, используемому в корпоративных приложениях, в том числе, и к VPN.

Корпоративная VPN – это "наложенная" (виртуальная) на сеть общего пользования сетевая инфраструктура, ограниченная рамками корпорации. Подобную инфраструктуру в общем случае составляют локальные вычислительные средства, объединяемые в корпоративную локальную сеть, корпоративные локальные сети, объединяемые в единое коммуникационное пространство, к которому, кроме того, подключаются удаленные и мобильные пользователи. Хранение и обработка в рамках виртуальной (основанной на использовании каналов связи общего пользования) сети корпоративной информации требует ее защиты, состоящей в реализации разграничительной политики доступа к корпоративным ресурсам и в криптографической защите виртуальных ("наложенных" на существующее телекоммуникационное оборудование) каналов связи.

www.security-bridge.com

Разделы

• Общие требования к корпоративной VPN
• Разграничительная политика доступа
• Криптографическая защита
• Администрирование