Разграничительная политика доступа

Когда речь заходит о реализации разграничительной политики доступа к ресурсам, в первую очередь, необходимо определиться с тем, что же является субъектом и объектом доступа. Это позволит определить способ их идентификации. В общем случае, как объектом, так и субъектом доступа (как правило, в VPN субъект одновременно является и объектом доступа – он может обращаться и к нему могут обращаться) может выступать либо компьютер, при этом доступ разграничивается между компьютерами, либо пользователь, соответственно доступ разграничивается между пользователями. Универсальность корпоративной VPN достигается в том случае, когда в качестве субъекта и объекта может выступать как компьютер в составе корпоративной сети, так и пользователь – сотрудник предприятия. Это, а также сложность идентификации компьютеров в сети по адресам (требуются специальные устройства – координаторы сети, а это дополнительные затраты и дополнительная сложность администрирования) обусловливает целесообразность включения специальной сущности "Идентификатор", никак не связанной ни с адресом компьютера, ни с учетной записью пользователя, используемой для идентификации субъектов и объектов VPN. В зависимости от способа хранения идентификатора субъекта/объекта (на компьютере, например, в реестре или в файле, либо на внешнем носителе, предоставляемом пользователю, например, на электронном ключе, либо на смарт-карте), т.е. его принадлежности (принадлежит компьютеру или пользователю), может быть реализована разграничительная политика доступа к ресурсам VPN для компьютеров или же для пользователей.

Теперь, в двух словах, о пользователях. По разным причинам, они могут обладать различной степенью доверия, либо решать различные функциональные задачи. Поэтому пользователей целесообразно подразделять на пользователей с высоким и низким уровнями доверия. Пользователю с низким уровнем доверия целесообразно разрешить передачу информации только в рамках корпоративной сети, т.е. разрешить взаимодействие только с компьютерами в составе VPN, трафик в которой должен шифроваться. Пользователю с высоким уровнем доверия может потребоваться разрешить взаимодействие, как с компьютерами VPN (по защищенному каналу связи), так и с компьютерами внешней сети (здесь информация передается в открытом виде). Поскольку сущность "Идентификатор" в общем случае может присваиваться, как пользователю, так и компьютеру, то в двух режимах (с возможностью выхода в незащищенный сегмент сети и без такой возможности) могут использоваться и компьютеры корпоративной сети.

Теперь, в двух словах, о реализации данного подхода. На компьютеры в составе VPN устанавливаются клиентские части, основу которых составляет сетевой драйвер. Клиентская часть блокирует какой-либо доступ в сеть (и из сети) до тех пор, пока не будет проведена идентификация (компьютера или пользователя, соответственно, идентификатор располагается либо на компьютере, либо на внешнем носителе у пользователя) на сервере VPN. При идентификации компьютера процедура осуществляется автоматически, для идентификации пользователя – ему необходимо ввести в компьютер идентификатор (например, вставить смарт-карту с идентификатором). После идентификации на сервере, в зависимости от уровня доверия, соответствующего идентификатору, клиентская часть позволит взаимодействие (компьютера или пользователя) либо только с компьютерами в составе VPN – на которых также установлена клиентская часть, информация при этом будет передаваться в шифрованном виде, либо же в защищенном режиме (с шифрованием трафика) с компьютерами VPN, в незащищенном (трафик не шифруется) – только с внешними по отношению к VPN компьютерами. Принадлежность компьютера к VPN определяется взаимодействием клиентских частей по защищенному протоколу.

Таким образом, собственно виртуальная сеть (VPN) формируется из состава компьютеров, на которых установлена клиентская часть – только они могут взаимодействовать с иными компьютерами из состава ЛВС – это одно из важнейших условий использования технологии WLAN. Для подключения к VPN необходима идентификация компьютера, либо пользователя на сервере VPN. Настройка же разграничительной политики доступа внутри VPN (разграничение доступа между сущностями "Идентификатор", которые могут присваиваться как компьютерам – разграничение между компьютерами, так и пользователя – разграничение между пользователями) осуществляется администратором на сервере (о том, как это делается, чуть ниже).

Настройка и эксплуатация VPN заметно упрощаются. Например, для подключения к VPN мобильного пользователя в любой точке земного шара, достаточно наличия у него компьютера, подключенного к сети, на котором должна быть установлена клиентская часть VPN, и идентификатора, который ему выдаст администратор (мы пока говорим только о реализации разграничительной политики). Администратор же, создавая идентификатор, может соответствующим образом назначить уровень доверия и определить те идентификаторы (компьютеры или пользователей) с которыми в рамках VPN по защищенному протоколу сможет "общаться" мобильный пользователь. Никаких координаторов для этого не требуется, т.к. адрес (который может быть различным при каждом удаленном подключении компьютера к сети) не используется в качестве идентифицирующей сущности. Он фиксируется на сервере VPN средствами аудита, но это уже иной вопрос.

Что же мы получаем в результате реализации данного решения. Установкой клиентских частей на компьютеры из состава VPN (заметим, что когда речь заходит о беспроводных сетях, то вся разграничительная политика доступа может быть реализована только распределено, т.е. непосредственно компьютерами, включенными в состав VPN), вне зависимости от используемого канала – проводная, либо беспроводная связь, и назначением для них соответствующих идентификаторов, обеспечивается возможность взаимодействия между собою только этих компьютеров – любое обращение со стороны внешнего компьютера к компьютеру из состава VPN блокируется (если компьютер из состава VPN не предназначен для связи с внешней сетью). Для компьютеров же из состава VPN, может быть задано разграничение прав доступа между субъектами (пользователями, либо компьютерами) уже собственно в составе корпоративной сети.

www.security-bridge.com