Безопасный удаленный доступ (мобильный офис)

Безопасный удаленный доступ(мобильный офис)

Нужен ли удаленный доступ и как обеспечить его безопасность ?

Stonesoft Russia

О чем презентация ?Удаленный доступ: виды и тенденции развитияБезопасность или удобство?Защита корпоративных клиентовКак сделать современный мобильный офис безопасным.

Почему нужен удаленный доступ?

Время сотрудников становится дороже ( много бизнес поездок где также нужно работать )

Появляется вполне оформленный класс сотрудничества – аутсорсеры

Сотрудники с частичной занятостью ( приходящий бухгалтер и др.)

Удаленная помощь при технической поддержке

сотрудники делающие работу из дома (телеворкеры)

Рыночные трендытенденции Возможные последствия

Централизация всех видов доступа в Энтерпрайзах

Необходимо высоко масштабируемое и мощное решение для всех пользователей, с обеспечением кросс аутентификации.

Увеличение количества используемых мобильных устройств

Обеспечение доступа с разных устройств и с использованием различных операционных систем.

Планы по обеспечению восстановлению после катастроф и доступности

Необходим постоянный , непрерывный доступ в любое время и во всех возможных условиях , с любых устройств.

Увеличение числа умных атак с использованием malware

Необходим анализ безопасности подключаемых устройств

Больше удаленных работников, больше партнеров с удаленным доступом

Труднее применять политики безопасности и разграничивать доступ пользователей, к ресурсам

Совместить несовместимое бизнес требования к доступу

Доступ в любое время

В пути ( в аэропорту и др.)

В нерабочее время ( вечером, в праздники)

С любого устройства

Доступ к нужным приложениям

Цена подключения

Управляемость

Обеспечение

безопасности доступаНадежное, защищенное простое соединение

поддержка разных ОС и устройств

Соответствие регуляторам

Управление доступом

Поддержка приложений (не только webmail)

IT службаПерегруженность

управление многими пользователями

Разные политики

Управление клиентским ПО

Доступ – все актуальнееСовременные бизнесы требуют наличие высокой

доступности своих сотрудников и своих ресурсов

Возможность обеспечения работы сотрудников из дома является одной из задач

Возможность полноценной работы сотрудников в удаленных местах и доступ с «чужих» устройств

Обеспечение доступа с любых устройств ….

Обеспечение безопасности доступа выходит на первый план – трудно определить кто именно получает доступ и с доверенного устройства или нет ?

Разный доступ – сложнее в управлении

Необходим более широкий доступ различным категориям пользователей

Сложнее управление правами доступа

Шире список устройств с которых нужен доступ

Партнеры (extranet)

Поставщики

Консультанты

Сотрудники на дом компьютере

Сотрудники в пути (ноутбук)

Клиенты ( любые устройства)

Сотрудники в отпуске ( любые устройства)Аутсорсеры (удаленные

работники)

Посмотрим на сотрудниковДоступ с ноутбука вне рабочего места: презентации, совещания, встреча у клиента, из дома …..

Доступ в дороге : аэропорт, автомобиль (не зарулем ), поезд ( через телефон), гостинница и др…- ноутбук ? Или?.

Доступ в отпуске, из дома с домашнего компьютера, от клиента с чужого компьютера и др….

Доступ с коммуникатора: удобно получать почту мгновенно и на телефон сразу (или планшет) в любых условиях, особенно где нет кабинетных условий, например риелторы, страхователи и др …

С точки зрения администратора , управление всеми этими типами доступа уже проблема, а еще партнеры и др….

Удаленный доступ как нигде требует обеспечения безопасности - шифрование канала связи (SSL,

IPSEC)- Аутентификация и авторизация

транзакций по сертификатам ,- challenge процедуры ( вопрос –

ответ); - пароли по СМС;- использование Transaction

Authorisation Numbers (TAN) таблиц - Сетевая защита ( WAF, IPS, FW, AV

….)- Вот только вопрос - а как все

применяется ???? - Может они отключены в момент

подключения ?

Безопасность не должна быть самоцелью с одной стороны

Игнорирование мер безопасности - приводит к очень серьезным последствиямС другой стороны

Типичная защита удаленного доступа

Клиентское средство имеет впн клиент и антивирус

или не защищено никак – есть только рекомендации

на сайте ….

В случае ссл доступа, Браузер подключается к сайту используя SSL соединение. Клиент аутентифицируется по сертификату с флешки ( в лучшем случае с токена), а часто просто пароль ….особенно если это айпад или что то подобное .

На межсетевом экране прописаны ресурсы в виде сетевых адресов куда можно «ходить» …..

В лучшем случае используется IPS ( чаще нет) между шлюзом и ресурсами , с общими правилами …

Доступ в почту с телефона или планшета – как правило настроенный агент Mail for exchange или Lotus traveler, а чаще всего просто IMAP и SMTP c устройства ! Лишняя дыра в безопасности !!!!

Проблемы удаленного доступа

Все усугубляется DoS атаками на WEB и другие ресурсы - а они должны быть доступными

используются разные технологии доступа с разными где надо по разному обеспечить управление доступом ….

Нет унификации, много разных способов доступа к ресурсам со своими средствами аутентификации …..

Пользователь должен использовать доверенный компьютер – если он вошел с чужого ?

Последние исследования показывают что защита «в лоб» с виртуальными патчами не работает

Проблемы со стороны компании

Компания не знает кто подключился – только аутентификация клиента говорит что это вроде он .

Работа клиента может конечно логгироваться, но часто уже поздно или никто журнал не смотрит .

Если пользователь был «хакнут» или у него вирус – то может активизироваться удаленный канал управления и данные могут быть украдены

Сохраненные данные на удаленном компьютере или например кеш могут быть украдены потом после сеанса …

Использование разного типа устройств становится кошмаром для администратора ( телефоны, планшеты …)

Разные устройства – разные возможности безопасности

Для компьютеров с windows имеется большой пул средств безопасности и анализа, однако и атак больше чем на другие системы

Linux – уже проблема ( а какой именно линукс ???), слишком много дистрибутивов. Который безопасен?

IPAD - чье устройство , какая политика безопасности на нем, не «сливает» ли это устройство данные куда то ?

Android – это открытое устройство ? Какие программы на нем стоят? Какова политика безопасности ?

Риски удаленного доступаРиски относящиеся к воровству данных аутентификации ( по каналу связи) – информация может быть перехвачена

Распространение вирусов, червей, троянов делает угрозу удаленного доступа через этот компьютер реальной.

Split tunneling – возможность передачи информации в другую сеть не попадая в туннель ….. ( в открытом виде)

Отсуствие необходимого ПО на публичных машинах.

Физический неконтролируемый доступ к удаленным компьютерам – можно установить шпионское ПО

Keyloggers – проблемы наличия шпионского ПО

Удаленные компьютеры — потеря чувствительной информации и интеллектуальной собственности.

Атаки типа Man-in-the-middle ( часто можно получить доступ и пользователь будет не знать ).

Ограничения оборудования ( нет возможности воткнуть USB токен с секретным ключом .

Риски удаленного доступаДоступ с неуправляемых удаленных устройств

Чувствительная информация может случайно остаться на чужом устройстве

Чувствительная информация может быть сохранена легитимным пользователем ( и оставлена)

Неуправляемые устройства – рассадник вирусов , шпионского ПО и др….

Неуправляемые устройства могут быть «захвачены» удаленной атакой и получить удаленный доступ к ресурсам .

Риски анонимности Сложно понять с чего вообще осуществляется доступ, и соответственно применить политику безопасности.

Риски предоставления доступа Аутентификация пользователя совершенно недостаточна для предоставления ему нужного уровня доступа. Пользователь может быть доверенным а на устройстве может быть шпионское ПО .

Как же обеспечить высокую безопасность, но при этом сделать простое и надежное решение для пользователя ?

Что есть в мире VPN?акроним Название

Уровень (OSI)

сеть – сеть

клиент - сеть

MPLS Multi-Protocol Layer Switching 2/3 да Нет

PPTP Point to Point Tunneling Protocol 2 да да

L2TP Layer Two Tunneling Protocol 2 не обязательно

(Вспомогательный)

IPsec IP Security (extensions to IP) 3 да да

SSL (TLS)

Secure Sockets Layer (aka Transport Layer Security)

4 Нет да

SSH Secure Shell 4 нет да

Что Безопаснее?Параметры SSL VPN к IPSec

Шифрование Зависит от браузера Сильное

Аутентификация Любые методы Любые методы

Контроль доступа Доступ приложений доступ компьютера к ресурсам сети

Доступ приложений с удаленного устройства только разрешенные (proxy)

Любые на устройстве

Журналирование Подробное (application) Подробное (сеть)

Поддержка разных устройств Просто, браузер,

(и) специальный агентНужен клиент (иногда

сложно)

Анализ удаленного устройства Улучшено (анализ хоста) Как правило доп средства.

Простота использования для пользователя Просто . Нажать линк

Часто требуется знание работы клиента.

Доступность ресурсов Везде 443 порт открыт Проблемы с экранами

SSL VPN спроектирован для удаленного доступа Нет проблем с NATЧасто не требует клиента Если используется специальный агент – то как правило нет настроек со стороны клиента .Все равно через какую сеть подключается Как правило везде открыт доступ для SSL (443 порт)Очень просто поддерживать и управлять на клиентской части Строгая политика безопасности ( дается доступ только к тому что надо )Пользователю проще работать ( портал )

Почему SSL VPN ?

SSL заменит IPSEC?На сегодняшний момент нет но хорошо дополнит существующие системы.

IPSEC лучше при Site –to – Site соединениях

IPSEC - Проще подключать своих сотрудников со своими Notebook ( доверенный хост)

IPSEC Менее ресурсоемкий на стороне шлюза.

SSL проще при создании удаленных подключений

Пользователь может подключиться и с чужого компьютера – не нужно устанавливать доп ПО.

Широкий спектр поддерживаемых устройств.

SSL - Доступ не к сети а к приложениям!

IPSec VPN и SSL VPNУдаленный офис

Аутсорсеры

Удаленный доступ с

недоверенных устройств

HQ

Мобильные

пользователи

extranet

Мобильные сотрудники

IPSEC VPN SSL VPN

Удаленные офисы, партнерские организации, сотрудники ( ноутбук)

Потребители Мобильные пользователи, клиенты, консультанты и др.

Фиксированные адреса , сайты, мобильный доступ

Подключение Мобильный доступ

Доступ к сетевым ресурсам Управление доступом Доступ : Пользователь к приложениям

Доверенное, управляемое Удаленное устройство Не управляемое, не доверенное

Что нужно для обеспечения безопасного доступа ?

Обеспечить защищенное соединение (шифрованное) определить это свой пользователь ? Определить это свое ( доверенное ) устройство или нет ? Обеспечить безопасность удаленного устройства (NAC).Обеспечить аудит действий пользователя .Обеспечить возможность блокирования записи информации в несанкционированные места …Обеспечить разграничение доступа к ресурсамОбеспечить удаление информации на удаленном устройстве после окончания сеанса связи ( если надо ) обеспечить доступ с любых устройств ( по возможности)

Представляем Stonegate SSL VPN

Уникальное решение для Российского рынка !

Представляем Stonegate SSL VPN

Унифицированные SSL VPN шлюзы готовые к работе .Защищенные апплайнсы обеспечивающие высокое масштабирование ( до 32 устройств)Обеспечение безопасного доступа сотрудников с личных компьютеров с мобильного телефона, планшета ( IOS, Android, Symbian и др.). или с интернет киоска без риска потери конфиденциальных данныхОбеспечение строгой аутентификации удаленных пользователей и применение политики безопасности Обеспечение автоматизированного взаимодействия с другими системами ( например платежными).Возможность передачи как данных так и голосовых потоковпросто для пользователя !

StoneGate SSL VPN • Безопасный доступ с любых устройств

Встроенная двух факторная аутентификация Интеграция с любыми каталогами и др. ( AD, LDAP,

Oracle) Поддержка single sign-on & ID federation

• Интегрированное управление угрозами Только доверенные соединения . Анализ целостности и безопасности устройства Удаление «следов» работы пользователя.

• Гранулированное и гибкое управление доступом Авторизация на уровне приложений Концепция least privileges – только то что разрешено

СЕРТИФИЦИРОВАНО

StoneGate SSL VPN - простой портал доступа

•Пользователи просто подключаются к порталу привычным способом - HTTP.

•Простой полностью настраиваемый и безопасный!

•Web приложения и туннелированные ресурсы

•Возможность полноценного сетевого доступа

•Возможность обратного доступа администратора к удаленным пользователям – для обеспечения поддержки .

Компоненты SSL VPNSSL VPN шлюз имеет сложную структуру и состоит из отдельных элементов :

Сервис аутентификации Сервис политик безопасностиСервис разграничения доступа Локальная база данных пользователей (LDAP)Сервис аудита Встроенный межсетевой экран

SSL VPN Management ConsoleМодуль обеспечения взаимодействия с SMCВсе элементы с целью масштабирования могут быть вынесены в отдельные аплайнсы

Концепция ААА – безнадежно устарела

С StoneGate SSL VPN вы получаете намного больше: АААААA...

Аутентификация (authentication)

Авторизация (динамическая) (authorization)

Оценка соответствия (динамическая) (assessment)

Разграничение доступа (Access control)

Туннелирование /защита трафика

Удаление следов (abolish)

Учет (accounting)

Анализ (Auditing)

Администрирование действий (Action rights)

Возможности SSL VPN функции преимущества

Аутентификация (authentication)

Встроенная система аутентификации, обеспечивающая более 15 методов аутентификации (OTP, SMS, WEB passw)Обеспечивает строгую двухфакторную аутентификация, смешанные виды аутентификации, поддержка Federated ID.

Авторизация (authorization)

Однозначно определяет какие ресурсы доступны аутентифицированному пользователю. Реализуя принцип least privileges.

Разграничение доступа (Policy-based Access Control )

Обеспечивает сценарии доступа основанные на политиках (policies based) для обеспечения контроля над потоками защищаемой информации.Обеспечивает защиту интеллектуальной собственности, информацию, упрощая работу для пользователю.


Оценка соответствия (динамическая) (assessment, endpoint control)

Определяет статус клиентского устройства для определения политики безопасности применяемой к данному устройству. Динамически определяя изменения в устройстве и поведение пользователя для строгого соблюдения режима безопасности. Обеспечивает соответствие нормам регуляторов и стандартов.

Учет (accounting)

Анализ подключений пользователей к ресурсам корпоративной сети с учетом применяемой политики безопасности

Безагентский доступ (Clientless Access)

Доступ к ресурсам с использованием любого браузера на любом устройстве – упрощает возможности удаленных пользователей по доступу к ресурсами компании.


Smart Access Специальные технологии позволяющие обеспечить нативный но контролируемый доступ к ресурсам KC используя встроенные технологии безопасности ( например mail for exchange) – нет необходимости делать дополнительные «Дыры» в системе безопасности .

Удаление следов (abolish)

Обеспечивает защиту данных путем удаления следов работы пользователя, всего «мусора» появляющегося при работе пользователя, данных, полученных на удаленный компьютер.

Анализ (Auditing)Centralized Logging

Обеспечивает журналирование и контроль всех операций проводимых пользователями, аудит действий пользователей, аудит всех криптографических функций. Интеграция с центром управления.

StoneGate SSL VPN позволяет ответить на вопросы : КТО получает доступ?

Какие ресурсы аутентифицированному пользователю доступны ?

С какого устройства он получает доступ ?

Это ЧЕЛОВЕК или программа?

Из какой сети он получает доступ ( например йота)?

Обеспечивается ли безопасность на удаленном устройстве достаточным образом ?

Можно на это устройство копировать информацию ?

Аутентификация

На этапе аутентификации пользователь отвечает на вопрос кто это ? И подтверждает себя разными методами ( двухфакторная аутентификация или комбинация разных методов ).

• 6 Methods included• StoneGate Password• StoneGate Web• StoneGate SMS• StoneGate MobileID Synchro• StoneGate MobileID Challenge• StoneGate OATH

• Supports over 15 external authentication methods• MS AD, RSA, LDAP, Novell eDirectory, Certificates, Aladdin SafeWord, IBM RACF, Federated ID, Windows NTLM и многие другие….

• Возможность комбинации методов аутентификации

Аутентификация пользователей • Пользователя можно аутентифицировать используя

разные базы ( каталоги) и системы аутентификации :– Active Directory– Любой LDAP каталог – Novell eDirectory– Federated Authentication (IdP)– IBM RACF Tivoli– Oracle

– Любой RADIUS– Встроенный сервер аутентификации – Цифровые сертификаты и внешний

удостоверяющий центр с поддержкой OSCP!

Авторизация

Доступ обеспечивается на основе многих параметров

и на основе этих параметров назначаются права доступа для пользователя .

• Доступ зависит от разных критериев.• Authentication Method• User Group Membership• IP of incoming client• Client Device• Date/Time Information• User Storage• Assessment results• Access Point used• Identity provider (Federated ID)

• Комбинация правил доступа ( Access Rules)

• Прямой доступ к приложениям и поддержка нескольких порталов

x.x.x.x

Устр. Assessment authentication

Accounting , Access

Action policy

Antivirus = да P Firewall = да Registry = да Integrity (files)=даSerial , процессы = даПроверка хоста = да

Строгая двухфакторная, + проверка соответствия ноутбука пользователю

файлы = да Web = да , почта = да CRM = да , telnet = да Timeout = 6 часовпроверка хоста = периодическая

Полный доступ к сети, скачивание файлов,Редактирование и сохранение документов и др.

Antivirus = да P Firewall = да Integrity (files)=даSerial = даПолитика locout = да

Строгая двухфакторная, + соовтетствие пользователя и устройства

File = да, Web = да Download=даTimeout = 6 часовпочта – постоянная синхронизация

Ограниченный набор приложений, редактирование файлов, сохранение в телефоне ограничено.

Antivirus = да P Firewall = нетRegistry = нет Проверка хоста = нет

Строгая двухфакторная,

Установить Pfirewall Email – нетWeb mail = да web = read only Timeout = 1/2 часа

CRM – read only Mail – Нельзя сохранять файлы, документы после сеанса удаляются .

Чужой планшет

Antivirus = нетP Firewall = нет Проверки хоста = нет

Пароль Нет соответствий

Отсылка на сервер карантина

Нельзя передавать файлы и др.

Различные уровни авторизации

Разные уровни доступа Полный

доступ

При не прохождении отдельных видов тестов или доступе с неавторизованного устройства, доступ к ресурсам может быть ограничен политикой безопасности.

Нет доступа

Полный доступ

Ограниченный доступ

файлы

почта

Безопасность устройстваЧто нужно, чтобы обеспечить безопасность подключаемого

устройства ?

Убедиться, что на компьютере есть средства безопасности ( антивирус, файрвол и другое ) и они работают.

Проверить а не были ли подменены какие либо программы или файлы ? Чтобы не получить троянца.

Отключить ненужные или опасные соединения, закрывая доступ удаленным подключениям через этот компьютер.

Контролировать куда копируются файлы ( не допускаем утечек);

Удалить все файлы и другие «следы» работы с компьютера

Обеспечить работу только разрешенных программ и приложений с удаленными ресурсами .

Обеспечить разные уровни доступа с разных устройств.

Анализ хоста – проверка на соответствие политике ...

• Предварительный набор тестирования • Статус Windows Security Center• HW серийные номера• Ключи реестра• Windows Domain/User• Информация о процессах• Сетевые интерфейсы• Статус сетевых портов • File/Directory наличие /checksum

• Периодическое сканирование для анализа соответствия

• Plug-In архитектура

Предварительно проводится набор проверок на соответствие политике безопасности.

Контроль целостности может выполняться по ГОСТ !

Безопасность хоста

Проверка наличия FirewallАнализ серийных номеров,

запущеных процессов

Проверка патчей OS, антивируса

безопасность браузера

Наличие Key logger?Проверка антивируса,

других программ

Проверки отсутствия IP-forwarding &

network bridging

Проверки специфичных файлов/процессов

/сервисов/портов/приложений, ключей реестра

Real time проверки подключаемого устройства

SSL VPN GatewayRemote user

Сервера приложенийAPP serverCitrixOracle DbFile shareLotusMS ExchangeSSH ServerWeb portal

Безопасность обеспечивается динамически

Определяет уровень безопасности

устройства и дает нужные права доступа

Активация Firewall

Как нейтрализуются угрозыперсональный файрвол используется в политиках по умолчанию и используется для защиты хоста при подключении к ресурсам .

Добавляются дополнительные правила доступа если антивирус недоступен или не обновлен ( авторизация)

Переподключение или новый анализ безопасности если это необходимо ( ЕСЛИ ПОЛИТИКА БЕЗОПАСНОСТИ НАРУШЕНА)

Отключение в необходимых случаях, когда динамические проверки показывают несанкционированную деятельность пользователя

Как нейтрализуются угрозы Если устройство анонимно :

Запрет доступа в более конфиденциальные домены

Сканирование устройства и реестра : Domain Membership; O/S

Контроль целостности файлов и реестра

Серийные номера HDD, Motherboard …

Наличие нужных ключей реестра

Проверка наличия нужных программ, запущенных процессов

запреты на определенные действия, например на закачку файлов или их изменение

Как нейтрализуются угрозы Критические данные удаляются

Технологии удаления кеш и других областей

Данные обрабатываются в «песочнице»

Слежение за определенными файлами которые скачиваются на удаленное устройство.

Сценарии доступа• Web доступ через портал

– Доступ с использованием браузера к приложениям или ресурсам опубликованным на внутреннем защищенном портале

– Web доступ к файлам, почте и др. приложениям поддерживающим WEB• Доступ приложения

– Обеспечивается доступ определенных (разрешенных) приложений на клиентском устройстве к ресурсам защищаемой сети

– Отсутствие настроек на клиентском месте, работа как в локальной сети • Сетевой доступ (динамический туннель)

– Поддерживаются любые порты и приложения. .– Доступ аналогичен использованию IPSEC клиента.– Позволяет упростить конфигурации для неизученных приложений – Позволяет передавать голос, видео …

Как это работает ? Для клиента это выглядит как доступ на веб сайт - проще не бывает .

Просто набираем сайт типа https:\\yoursite.ru

Выбираем метод аутентификации, ввели аутентификационные данные и … попали в портал

Как это работает ? Для работы с ресурсом нужно просто кликнуть нужную иконку и нужное приложение или ресурс откроется ….

Подключение намного проще чем при соединении IPSec – пользователю не нужно управлять клиентом - только ввести свой пароль ( например одноразовый) и все - он получил доступ к ресурсам .

Типичная установка SSL VPN

TCP/443 (SSL) TCP/UDP (ANY)

DMZсервисы

LDAPMS ADOracleNovellRadiusRSA

Сервера приложенийAPP serverCitrixOracle DbFile shareLotusMS ExchangeSSH ServerWeb portal

Типично шлюз устанавливается в DMZ компании. К нему открывается только доступ HTTP и HTTPS.

Internet

Соединения проводятся исключительно через SSL тунель со строгой аутентификацией

Подключение не только по стандартному порту

Работает TCP Port Forwarding• Шлюз «слушает» разные TCP порты • Обеспечивает «Проксирование» соединений к внутренним ресурсам

• Возможность комбинировать аутентификацию по сертификатам

Application Server(Resource)

Client

TCP Port 8081 TCP Port 80

возможности FedID Stonesoft ItalyStonesoft Finland

Web Server(sample resource)

MS Active Directory SSL VPN IT

(SP)DEMO.STONEGATE.COM

(IdP)

User

1. Lo

gin

2. SAML2.0 Request

5. A

uthe

ntica

ted

4. SAML 2.0 Response

3. StoneGate Auth

(Active Directory)

Поддержка приложенийПоддерживаетс

я большое количество приложений позволяя обеспечивать нативный доступ приложения к ресурсам сети

Технология Active SyncВсе кто имеет телефон или планшет знает что

очень удобно иметь почту на телефоне, которая мгновенно синхронизируется. Как обеспечить безопасность ?

Обычный подход – туннелирование – часто сложно обеспечить и часто медленная работа и глюки.

Второй вариант – сделать дырку до сервера почты …StoneGate SSL - Нативная поддержка, Mail for exchange.

Обеспечивает упрощенный и постоянный доступ приложений без участия пользователя

Ролевое управление Использование групп пользователей AD позволяет проще управлять доступом на основе правил

Внутренний WEB

1 С

Группа ADБухгалтерия

Группа ADПродавцы

Различные группы пользователей

Множество ресурсов

ERP

Преимущества: Уменьшение времени на настройки

Автоматизированные изменения прав пользователей

Нет необходимости изменять политику безопасности на устройстве .

MicrosoftExchange

Реверсивные туннели

В случае необходимости возможно создание конфигураций с обеспечением «обратного» тунелирования, когда администратор может получить доступ к рабочей станции удаленного пользователя, чтобы исправить какие то проблемы на удаленном устройстве.

помогите! Сейчас разберемся!

Комбинирование методов аутентификации

12

3

CN

Слайд не нравится но идею надо показать

Сертификация решений StoneGate SSL VPN

Проблемы сертифицированных SSL VPN решений в настоящий момент все решения представлены

криптопровайдерами .

В правилах пользования всех криптопровайдеров написано – обеспечить анализ встраивания ….

Нет реального шлюзового решения – есть только руководства как встроить в разные сервера ( Apache)

нет сертификации ФСТЭК как решения

Требуют доводки решения после встраивания до работоспособного состояния

Сертификация Для полного соответствия Российскому законодательству SSL VPN прошел сертификацию ФСТЭК:

Шлюз защиты удаленного доступа StoneGate SSL* – 3 класс МЭ (многокомпонентного), 1класс ПДн, 4 класс НДВ.

В составе сертифицирована система многофакторной аутентификации!

И ФСБ :

Классы КС1 – КС2 !Поддерживаются криптопровайдеры ( прописаны в сертификатах) : Криптопро, Валидата!

Различные исполнения Сейчас доступно 8 исполнений по линии

сертификации ФСБ !

1. три исполнения шлюза SSL VPN Server. ( КС1 – КС2 а также вариант с устройством МАРШ).

2. Исполнение КС1 для сред Windows ( любых) и Linux ( широкий набор)

3. Исполнение КС2 – на изделии МАРШ , в средах Windows, Linux.

4. Исполнения КС3 ( скоро выход) – для среды Win XP и в перспективе для Win7. а также для шлюза доступа.

Исполнение 1:

‒ StoneGate SSL VPN Server;

‒ СКЗИ "КриптоПро CSP" 3.6. исполнение 1.

‒ СКЗИ "КриптоПро JCP" версии 1.0.1

Класс защиты КС1.

Аппаратные платформы StoneGate, Intel Server

( конфигурации описаны в конфигураторе )

Помним – может работать в виртуальных средах!!!






Функционирует на серверных аппаратных средствах общего назначения с применением особых организационно-технических мер.

Аппаратные платформы StoneGate, Intel Server

( конфигурации описаны в конфигураторе )

Электронный замок не требуется !!!



‒ СКЗИ "КриптоПро CSP" 3.6. исполнение 2;


‒ ПАК защиты от НСД "Аккорд" или ПАК защиты от НСД "Соболь".


Функционирует на серверных аппаратных средствах общего назначения.


‒ StoneGate SSL VPN Access Client;



Платформы общего назначения.

виртуальные платформы.



‒ СКЗИ "КриптоПро CSP" 3.6 исполнение 1;

‒ специальный загрузочный носитель - СЗН "МАРШ!-USB".





‒ СКЗИ "КриптоПро CSP" 3.6 исполнение 2;





‒ StoneGate SSL VPN Access Client

‒ СКЗИ "Валидата CSP" 4.0 исполнение 1;


Любые аппаратные платформы, виртуальные платформы.



‒ СКЗИ "Валидата CSP" 4.0 исполнение 2;




Исполнение на МАРШ!Идея обеспечения доверенного доступа заключается в

использовании доверенного USB устройства, которое содержит в себе защищенную операционную систему

специально защищено от взлома на аппаратном уровне

Позволяет обеспечить доступ к ресурсам загрузившись прямо с устройства. Таким образом операционная система компьютера с которого обеспечен доступ не используется.

На устройстве есть ограниченный набор приложений, которые могут быть использованы.

Таким образом получается изолированная замкнутая среда .

Система полностью исключает несанкционированный доступ к операционной среде как в устройстве так и в комрьютере так как его жесткий диск оказывается не подключенным.

Из ЖТЯИ.00050-01 90 02. КриптоПро CSP.

должна быть запрещена работа СКЗИ при включенных в ПЭВМ штатных средствах выхода в радиоканал.

В стоунсофте таких ограничений нет.

СКЗИ должно эксплуатироваться на рабочих станциях и серверах с установленными средствами антивирусной защиты, сертифицированными Федеральной Службой Безопасности РФ по классу Б2 для рабочих станций.

СКЗИ должно эксплуатироваться на рабочих станциях и серверах с установленными

лицензионными средствами антивирусной защиты; ….

Из ЖТЯИ.00050-01 90 02. КриптоПро CSP.

Периодичность тестового контроля криптографических функций - 10 минут.

8. Ежесуточная перезагрузка ПЭВМ.

9. Периодичность останова ПЭВМ с обязательной проверкой системы охлаждения процессорного блока ПЭВМ - 1 месяц.

Проверки проведенные совместно с нашими продуктами и нашими специалистами, позволили увеличить время

до перезагрузки ПЭВМ до недели!!!

Чем решение отличается от текущих решений SSL-GOSTНа рынке много решений SSL, которые сертифицированы

( библиотеки Криптопро, МагПро и другие)

почувствуйте разницу :

Масштабируемость до любых размеров ( до 32 шлюзов )

Поддержка работы приложений (туннель ) а не только браузер

Работа на разных платформах с поддержкой приложений

Мощная встроенная система двухфакторной аутентификации

Single Sign On (SSO) Federated ID

Анализ безопасности подключаемого устройства (security checks)

End-Point защита (сканирования, персональный экран)

Нет требования о контроле встраивания !

Готовое, сертифицированное решение !

Где обновления ? www.newinfosec.ru – сертифицированные версии и др. тут .

http://www.newinfosec.ru/

Stonegate SSL VPN облегчает применение в ИСПДн в следующих случаях:

Удаленный доступ с отдельного рабочего места, которое подключено и к другим ИСПДн (пересекающиеся ИСПДн).

Удаленный доступ с клиентского устройства которое не находится под контролем Администратора ИСПДн

удаленный доступ клиента к базе данных ИСПДн ( например Пользователь телекоммуникационных ресурсов у телко оператора )

Партнерский доступ к ИСПДн ( другая компания)

Как использовать SSL VPN для защиты ПДн


Вспомним про сертификацию :

Сертификат на многокомпонентный МЭ третьего класса. - это означает, что при подключении клиента, на нем можно активировать персональный экран , который будет блокировать все запрещенные соединения совместно со шлюзом !

Прописано в сертификате , что возможна защита сетей до 1 класса включительно !

Сертификат ФСБ обеспечивает возможность применения в любых системах персональных данных.(исполнение в соответствии с моделью)


Основные моменты :

защищается доступ удаленного пользователя использующего конкретное приложение к конкретному ресурсу или приложению !

пользовательское устройство при подключении проверяется на уровень безопасности ( по ГОСТ !);

ставится персональный экран работающий совместно со шлюзом ( еще одно условие ПДн);

Обеспечивается контроль действий пользователей с защищаемыми ресурсами.

Проводится динамическая проверка удаленного устройства на уровень безопасности .

Информация не остается на удаленном устройстве ( можно настраивать данные возможности )


Позволяет подключение к разным ИСПДн с разными уровнями !

Контролирует удаленное устройство!

Обеспечивает защищенность информации на устройстве ( все стирается )

Выполняет требования

К Пдн любого класса.

ИСПДн 1 (К1)

ИСПДн 3(К3)

ИСПДн 2 (К2)

Создаются отдельные порталы для разных ИСПДн.

SSL VPN сценарии применения технологии

Маленькие офисы.Небольшие фирмы, отсутствие или приходящий администратор:

Для небольших и средних бизнес фирм , кому нужно быть постоянно на связи Что необходимо: доступ сотрудников к ресурсам компании. Доступ необходим с любых компьютеров ( ноутбук не всегда есть)Решение : SSL шлюз – полноценное устройство все в одном.Возможности :

Увеличивает продуктивность и уменьшает TCOНе требует дополнительного оборудования (LDAP, SSO, OTP и др – встроенные). Все функции включены сразу ( без доп. Оплат и дополнительного лицензирования)Не требует установок программ на удаленном компьютереПросто в управлении , настройке и разворачивании системы

Не требует или сильно минимизирует необходимое обучение работе с системой .

Подключение маленького офиса .

одно устройство содержит все необходимое в том числе встроенный Firewall, систему аутентификации, разграничения доступа, каталог пользователей, NAC

Просто для администратора - одно устройство.

Дешевле – все функции бесплатно включены !!!!

Сертифицировано для систем до К1 и классов КС1 – КС3!

Просто для пользователей ( не надо обучать )

Ресурсы ( база данных)

Шлюз доступа Все в одном

Маленькие офисы.

Преимущества Устройство доступа содержащее все что необходимо для полноценной работы !

Встроенная и бесплатная система двухфакторной аутентификации ( одноразовые пароли )

Встроенный каталог ( LDAP)

Шлюз доступа и встроенный портал .

Полностью самодостаточное устройство для работы, обеспечивающее самый высокий уровень безопасности

Поставляется в виде готового устройства – по принципу поставил и работай ( plug and play).

Не требует обучения пользователей работе !

Полноценная сертификация по высшим стандартам!

Маленькие офисы.

Автоматизированная работаНеобходимость автоматизации работы на клиентеБанки, платежные системы, биллинг и др. где на конечном клиенте работает «робот» (ПО)Что необходимо:Наличие API для подключения программ или устройств.Возможность подключения, аутентификации и работы клиента в полностью автоматизированном режиме.Решение: StoneGate SSL VPN c Клиентским API.Возможности :Наличие уникального API, позволяющее подключить клиента в автоматическом режиме при этом контролировать его .Облегчает встраивание технологии в процессинги банков и других организаций.Обеспечивает автоматизированную (пакетную ) работу клиентаОбеспечивает множественную аутентификацию ( при необходимости) клиента, и заданный уровень безопасности.

Автоматизированная работа

Шлюз передачи документов , работает в полностью автоматическом режиме.Аутентификация и другие функции полностью автоматизированы

Сервер приема платежей

( база данных)

Шлюз доступа

Шлюзы передачи документов , API, автоматическое

подключение и передача информации

Плат система

Плат система

банк

Преимущества Полная автоматизация процессов доступа, аутентификации, авторизации, работы , обеспечения безопасности

Упрощение внедрения и эксплуатации как со стороны клиентов так и со стороны шлюза ( для администратора)

Возможность гибридной работы ( автоматизированные клиенты и обычные клиенты )

Нет необходимости новой сертификации решения по ФСБ – API не затрагивает криптографические функции криптобиблиотек ( кроме функций подписи файлов – это прерогатива криптобиблиотек)

Полноценно сертифицированное решение готовое к применению не требующее вмешательства администратора.

Автоматизированная работа

Средние фирмыЕсть своя инфраструктура и каталоги, обеспечение безопасного и бесперебойного доступа не только сотрудникам компании.Что необходимо: Строгий, гранулированный доступ сотрудников и партнеров к ресурсам, полноценный аудит действий пользователей и динамический контроль.Решение : SSL шлюз + сервер аутентификации (SMC).Возможности :

Увеличивает продуктивность и уменьшает TCOОбеспечивает SSO, аутентификацию, разграничение доступа, удаленный контроль клиентов, безопасность подключеннного клиента.Не требует изменений или инсталляций на удаленном компьютере (агент автоматически устанавливается)Не требует разработки доп ПО для интеграции с ресурсами.Не требует или сильно минимизирует обучение работе

Гранулированный доступ

Полноценные отчеты по безопасности

Интеграция с внутренними LDAP, другими ресурсами

динамическая безопасность подключаемых клиентов

Многофакторная аутентификация

Active sync

Средние фирмы

Кластер – обеспечение

отказоустойчивости

Внутренняя база данных

Партнеры

сотрудники

LDAP

Общие ресурсы

Средние фирмыОбеспечение гранулированного контроля доступа из приложений клиента в приложения на серверах !Возможность создания множества порталов с разными видами аутентификации доступом – простое управление доступом. поддержка любых LDAP серверов и большого количества приложений ( легкая интеграция в инфраструктуру).Полноценный сервер аутентификации с возможностью использования в любых инфраструктурах, с любым оборудованием.Возможность создания туннелей со стороны клиента для приложений без административных затрат на каждом клиенте.Обеспечение работы с разнотипными устройствами ( PAD, notebook….)Active sync – простое обеспечение безопасности почты

Преимущества

Большие Распределенные компании

Что нужно:

обеспечение доступа к ресурсам компании с любых устройств в любое время, через разные шлюзы (в разных филиалах).

Строгий, гранулированный доступ партнеров или консультантов к определенным ресурсов.

Решение: несколько шлюзов установлены ( как и в любой обычной компании) в разных филиалах. Как IPSec VPN так и SSL. Управляются из единого центра и с единой политикой безопасности и аутентификации.

преимущества: несколько разных шлюзов в разных странах обеспечивают бесперебойный доступ пользователей. Проводится сквозная аутентификация в независимости от шлюза доступа или типа доступа. Пользователь может «прозрачно» переключиться на другой шлюз, в случае отказа подключенного.

Решение обеспечивает гранулированный контроль пользователей к ресурсам, в зависимости от типа устройства и типа подключения.

Обеспечивается полноценный анализ подключаемого оборудования.

Контролируется безопасность информации скачанной на удаленное устройство

SSL VPN сценарии – большие порталы

Кластеры – обеспечение

маштабируемости отказоустойчивости

Внутренние ресурсы

Клиенты

Подключаются к ресурсам с использованием

Проверки политик

безопасности

Кластер аутентификаци

и

Аплайнс До

15000 соединений

SSL VPN сценарии – доступ к облаку

Основные моменты:

Соединение шифруется а значит сертификат ….

Нужна строгая аутентификация и гранулированный доступ . Представим что в облаке пользователь получил доступ к чужим ресурсам ?

С ССЛ это не возможно .

Строгая аутентификация в купе с смс информированием может обеспечить высокую безопасность .

SSL VPN сценарии – защита ДБО

Защита в ДБО Часто признаком атаки является нестандартное подключение например при подключении через Yota…

Использование другого компьютера вкупе с выходом из неожиданной сети и другое ….

Усложнение действий злоумышленнику – одноразовые пароли как дополнение к обычным мерам, а также например одновременно SMS информирование о подключении …..

Упрощение картины – когда все события можно проанализировать в одном месте совместно с другими данными

Защита в ДБОПредлагаемое решение перекрывает не только множество атак , но и например заодно и выполнение требований PCI DSS.

Позволяет в том числе и передавать данные в нужном структурированном виде ( нормальизованном) в системы корреляции событий ( типа Арксайт и др…)

Значительно затрудняет атакующему жизнь, а также не увеличивает стоимость вложений например в системы одноразовых паролей а также например в SSO и др.

Преимущества Stonegate SSL VPNОдна из наиболее масштабируемых систем Встроенные системы двухфакторной аутентификации Упрощенная работа пользователя ( не нужно обучаться)Мощная система анализа подключаемого устройстванизкий ТСО Работа в виртуальной среде Готовое решение для обеспечения безопасности в облакахСертификация как производство ФСТЭК И ФСБ

итоги:Ключевые возможности

Мощное решение масштабируемое от небольших решений до ентерпрайз класса.Встроенные LDAP, RADIUS, системы аутентификацииПоддержка Windows, Mac, Linux, IOS, Android и др…. Встроенная поддержка Federated ID

Отличительные особенности Обеспечение безопасности подключаемого устройства Мощный и простой интерфейс управленияМасштабируемость, Мощность и гибкость решения Уникальная встроенная система аутентификации и авторизации

Преимущества Лучшая комбинация возможностей, безопасности и юзабилитиСамый низкий в отрасли TCO и самый высокий показатель ROIПолное соответствие требованиям Российского законодательства , сертификация ФСТЭК ФСБ

Комплексная безопасность- это просто .

Безопасный удаленный доступ

Предотвращение вторжений

Виртуальные сети

Защита периметраУправление событиями и инцидентами

Безопасный удаленный доступ (мобильный офис)

Technology

Transcript of Безопасный удаленный доступ (мобильный офис)