Администрирование

Ранее мы неоднократно отмечали, что важнейшей задачей разработчика средств защиты для корпоративных приложений является упрощение администрирования. Это может достигаться автоматизацией наиболее трудоемких задач администрирования.

Рассмотрим на конкретной разработке, как эта задача может быть решена на практике. Как ранее говорили, в своем составе ПО "Корпоративная VPN "Панцирь" для ОС Windows 2000/XP/2003" содержит: клиентские части, устанавливаемые на компьютеры, включаемые в состав VPN, серверные части (основная и резервная), устанавливаемые на выделенные компьютеры, АРМ администратора безопасности, может устанавливаться как на отдельном компьютере, так и на сервере VPN.

Теперь об администрировании.

На сервере необходимо создать базу субъектов/объектов VPN. Это реализуется из интерфейса серверной части. Для каждого созданного субъекта необходимо указать доверенный он (тогда ему разрешается взаимодействие с внешней сетью), либо нет, также для задания системного субъекта существует сущность "резервный сервер". Для созданных субъектов сервером VPN автоматически генерируются его идентификатор и ключ шифрования взаимодействия с сервером VPN, которые необходимо сохранить на внешнем носителе (либо на Flash-устройстве, если субъектом выступает компьютер, либо на одном из выбранных носителей – электронный ключ или карта, может быть также и Flash-устройство), если субъектом выступает пользователь. Данное устройство будет затем использоваться пользователем для его идентификации, с целью получения доступа к виртуальным каналам VPN. Данное устройство впоследствии администратору необходимо будет передать соответствующему сотруднику предприятия (пользователю). Кроме того, необходимо настроить системные параметры сервера, задать алгоритм шифрования виртуальных каналов в VPN, способ хранения и ввода идентифицирующих субъекта данных. На клиентской части необходимо задать алгоритм шифрования виртуальных каналов в VPN, способ хранения и ввода идентифицирующих субъекта данных способа хранения и ввода идентифицирующих субъекта данных, параметры взаимодействия с основным и резервным серверами VPN.

После того, как субъекты/объекты доступа созданы, может быть настроена разграничительная политика доступа в составе VPN, что реализуется на сервере из интерфейса.

Для этого в левой части интерфейса следует выбрать субъект, для которого необходимо разграничить доступ (это может быть пользователь, либо компьютер). Субъектом может выступать и концентрирующий элемент (папка на интерфейсе), например, для всех компьютеров (или сотрудников) одного филиала, отдела. В правой части, где также отображаются субъекты/объекты VPN, следует выбрать объекты (это также могут быть пользователи, либо компьютеры, в качестве объектов также могут выступать папки), к которым следует разрешить, либо запретить (в зависимости от реализуемой разграничительной политики – разрешительная или запретительная) доступ для выбранного субъекта. Все весьма просто и наглядно.

Настройка корпоративной VPN завершена. Если субъектами доступа являются пользователи (не компьютеры), то после установки клиентской части на компьютер пользователя и настройки системных параметров (параметров взаимодействия с сервером VPN, способа хранения и ввода идентифицирующей информации), администратор должен передать пользователю электронный ключ (карту) с идентификационными данными и ключом шифрования взаимодействия с сервером VPN (эти данные администратор всегда сможет изменить на сервере, соответственно передав их затем пользователю).

В процессе функционирования, от пользователя (если он, а не компьютер, является субъектом VPN) требуется лишь подключать электронный ключ (карту) к компьютеру для идентификации, с целью получения доступа к сети, от администратора же вообще не требуется никаких дополнительный действий (все ключи шифрования между каждой парой субъектов на сервере генерируются автоматически, при каждом подключении компьютера VPN к серверу VPN). Администратору остается только осуществлять функции контроля работы пользователей в VPN с использованием соответствующих средств аудита. Кроме того, он может осуществлять необходимые текущие оперативные действия по управлению VPN, например, временно заблокировать идентификатор (субъект/объект) – вывести его из состава корпоративной VPN, изменить статус субъекта и т.д.

Заметим, что рассматриваемое средство защиты характеризуется весьма широким спектром (универсальностью), как подключаемых криптоалгоритмов, так и возможностями хранения и ввода идентификационных данных и ключа.

В порядке замечания отметим, что целью данной работы не являлось детальное описание какого-либо конкретного средства защиты. Мы постарались сформулировать, как общие требования к построению корпоративной VPN (ориентируясь на особенности данной области приложений средства защиты), так и требования, реализация которых необходимо при построении беспроводной защищенной ЛВС (либо беспроводного сегмента), а также рассмотреть подходы к решению одной из ключевых задач реализации средства защиты в данных приложениях – задачи упрощения администрирования. На наш взгляд, при всем многообразии на рынке, средств построения VPN именно для корпоративных приложений на сегодняшний день очень мало – единицы. Большинство решений может в той или иной мере эффективно использоваться для построения частных VPN – для личного использования. Те же средства, которые ориентированы на корпоративное использование, отличаются высокой сложностью не только собственно средств защиты, но и их администрирования. Кроме того, большинство подобных средств предназначено для защиты корпоративных проводных сетей.

В заключение отметим, что VPN для корпоративных приложений является лишь одной из компонент комплекса средств защиты, правда, очень важной, а, при реализации беспроводной корпоративной сети, просто необходимой. Помимо этого, в данных приложениях существует множество иных задач защиты, в частности, защита от НСД к информационным и к системным компьютерным ресурсам, без реализации которой нельзя говорить об обеспечении какого-либо уровня безопасности вычислительного средства (т.е. собственно компьютера), криптографическая защита данных, сохраняемых на жестком диске и на внешних накопителях (монтируемых устройствах) и т.д. Другими словами, эффективная защита может быть обеспечена лишь в случае реализации комплексного подхода к защите, как от внутренних, так и от внешних ИТ-угроз.

www.security-bridge.com