Документ обсуждает выбор между SSL и IPsec для безопасного удаленного доступа, подчеркивая растущие требования к безопасности информации. Он описывает характеристики SSL VPN, такие как простота использования, защита от угроз и гибкость в управлении доступом. Также упоминается решение Stonegate SSL VPN, которое обеспечивает защищенное соединение и контроль доступа с различных устройств.

1. SSL или IPSEC?
Что же выбрать для безопасного
удалённого доступа?
_________________________________________________________________________________________________________________________________________
Докладчик: Алексей Абашев

2. Куда мы движемся?
С каждым днём все больше становиться мобильных устройств
_________________________________________________________________________________________________________________________________________

3. Куда мы движемся?
Растут запросы пользователей на
предоставление доступа к информации и
корпоративным ресурсам
_________________________________________________________________________________________________________________________________________

4. Куда мы движемся?
И, как следствие, возрастают требования к
обеспечению безопасности информации
_________________________________________________________________________________________________________________________________________

5. Как устроена стандартная защита ?
• Если это ноутбук, то он может иметь VPN клиент и антивирус,
а если планшет или смартфон то…
• Если Браузер подключается к сайту используя SSL
пользователь аутентифицируется по сертификату с флэшки (в
лучшем случае с токена), а иногда просто пароль, особенно
если это iPad
• На межсетевом экране прописаны разрешённые ресурсы в
виде сетевых адресов
• Доступ в почту с телефона или планшета – как
правило настроенный почтовый агент,
или просто IMAP и SMTP c устройства
_________________________________________________________________________________________________________________________________________

6. Платформы
Сколько платформ, столько и
реализаций системы безопасности
• Windows
• Linux
• iPad, iPod, iPhone
• Android
_________________________________________________________________________________________________________________________________________

7. Чем рискуем?
• Воровство данных
аутентификации по каналу
связи
• Физический
неконтролируемый доступ к
удалённым компьютерам
• Ограничения оборудования
• Доступ с неуправляемых
удалённых устройств
_________________________________________________________________________________________________________________________________________

8. Вспомним модель OSI/ISO
Модель OSI/ISO
Тип данных Уровень (layer) Функции
7. Прикладной (application) Доступ к сетевым службам
Данные 6. Представительский Представление и шифрование
(presentation) данных
5. Сеансовый (session) Управление сеансом связи
Прямая связь между конечными
Сегменты SSL 4. Транспортный (transport) пунктами и надежность
Определение маршрута и
Пакеты IPSEC 3. Сетевой (network) логическая адресация
Кадры 2. Канальный (data link) Физическая адресация
Биты 1. Физический (physical) Работа со средой передачи,
сигналами и двоичными данными
_________________________________________________________________________________________________________________________________________

9. Посмотрим внимательно на SSL VPN
• SSL VPN спроектирован для удалённого доступа
• Нет проблем с NAT
• Часто не требует клиента
• Если используется специальный агент – то
настройки со стороны клиента минимальны
либо отсутствуют
• Все равно через какую сеть подключается
• Обычно, везде открыт доступ на 443 порт (SSL)
• Строгая политика безопасности (даётся доступ
только к тому что надо)
• Пользователю проще работать (портал)
_________________________________________________________________________________________________________________________________________

10. Что требуется для безопасности доступа?
• Обеспечить защищённое соединение
(шифрованное)
• Определить это свой пользователь?
• Определить это своё (доверенное)
устройство или нет?
• Обеспечить безопасность удалённого
устройства
• Обеспечить аудит действий пользователя.
• Обеспечить разграничение доступа
к ресурсам
• Обеспечить удаление информации на
удалённом устройстве после окончания сеанса
связи (если требуется)
_________________________________________________________________________________________________________________________________________

11. Вот оно решение – StoneGate SSL VPN!
• Безопасный доступ с любых
устройств
 Встроенная двух факторная аутентификация
 Интеграция с любыми каталогами и др. (AD,
LDAP, Oracle)
• Интегрированное управление
угрозами
 Только доверенные соединения .
 Анализ целостности и безопасности устройства
 Удаление «следов» работы пользователя.
• Гранулированное и гибкое
управление доступом
 Авторизация на уровне приложений
 Концепция – только то что разрешено
_________________________________________________________________________________________________________________________________________

12. StoneGate SSL VPN
позволяет ответить на вопросы:
• КТО получает доступ?
• Какие ресурсы пользователю доступны?
• С какого устройства он получает доступ ?
• Это ЧЕЛОВЕК или программа?
• Из какой сети он получает доступ?
• Обеспечивается ли безопасность на удаленном
устройстве достаточным образом?
• Можно на это устройство копировать
информацию?
_________________________________________________________________________________________________________________________________________

13. Реализация различных уровней доступа
почта
файлы
• При не прохождении отдельных видов тестов или доступе с
неавторизованного устройства, доступ к ресурсам может быть ограничен
политикой безопасности.
_________________________________________________________________________________________________________________________________________

14. Борьба с угрозами
• Персональный Firewall используется в политиках по
умолчанию и используется для защиты хоста при
подключении к внутренним ресурсам
• Добавляются дополнительные правила доступа
если пользовательский антивирус недоступен или
не обновлён
• Переподключение или новый анализ безопасности
если это необходимо (ЕСЛИ ПОЛИТИКА
БЕЗОПАСНОСТИ НАРУШЕНА)
• Отключение в необходимых случаях,
когда динамические проверки
показывают несанкционированную
деятельность пользователя
_________________________________________________________________________________________________________________________________________

15. Борьба с угрозами
• Критические данные удаляются
– Технологии удаления кэш
и других областей
памяти
• Слежение за определёнными
файлами которые скачиваются
на удалённое устройство
_________________________________________________________________________________________________________________________________________

16. Сценарии доступа
• Web доступ через портал
– Доступ через браузер к приложениям или ресурсам, опубликованным на
внутреннем защищённом портале
• Доступ пользовательских приложений
– Доступ определённых (разрешённых) приложений к ресурсам
защищаемой сети
– Никаких настроек на клиентском месте, работа как в локальной сети
• Сетевой доступ (динамический туннель)
– Поддерживаются любые порты и приложения
– Доступ аналогичен использованию IPSEC клиента
– Позволяет передавать голос, видео …
_________________________________________________________________________________________________________________________________________

17. Как это работает?
• Для Пользователя это выглядит как доступ на веб сайт
• Просто набираем сайт типа https:yoursite.ru
• Выбираем метод аутентификации, ввели
аутентификационные данные и … попали в портал
_________________________________________________________________________________________________________________________________________

18. Как это работает?
Для работы с ресурсом нужно просто кликнуть нужную иконку или
нужное приложение и ресурс откроется ….
_________________________________________________________________________________________________________________________________________

19. Типичное расположение SSL VPN сети
• Типично шлюз устанавливается в DMZ компании. К нему открывается
только доступ HTTP и HTTPS
• Соединения проводятся исключительно через SSL- туннель со строгой
аутентификацией
сервисы Сервера
DMZ LDAP приложений
MS AD APP server
Citrix
Oracle Oracle Db
Novell File share
Radius Lotus
Internet RSA MS Exchange
SSH Server
TCP/443 (SSL)
Web portal
TCP/UDP (ANY)
_________________________________________________________________________________________________________________________________________

20. Поддержка приложений
Поддерживается
большое количество
приложений позволяя
обеспечивать им
прямой, но
контролируемый
доступ к ресурсам сети
_________________________________________________________________________________________________________________________________________

21. Технология ActiveSync
Все кто имеет телефон или планшет знают как это удобно иметь на них почту,
которая мгновенно синхронизируется.
Как обеспечить безопасность?
Обычный подход – либо организовывают туннель, либо дырку в сетевом экране до
сервера почты
StoneGate SSL - Прямая поддержка, Mail
for exchange.
Обеспечивает постоянный доступ
приложений без участия пользователя
_________________________________________________________________________________________________________________________________________

22. Проблемы сертифицированных SSL VPN
решений
• В настоящий момент все
решения представлены
криптопровайдерами
• В правилах пользования всех
криптопровайдеров написано
– обеспечить анализ
встраивания (ПКЗ-2005)….
• Нет реального шлюзового
решения – есть только
руководства как встроить в
разные сервера (Apache)
• Нет сертификации ФСТЭК как
решения
• Требуют доводки решения
после встраивания до
работоспособного состояния
_________________________________________________________________________________________________________________________________________

23. Чем решение StoneGate отличается от текущих
решений SSL-GOST?
• Масштабируемость до любых размеров (до 32
шлюзов)
• Поддержка работы приложений (туннель) а не
только браузер
• Работа на разных платформах с поддержкой
приложений
• Мощная встроенная система двухфакторной
аутентификации
• Single Sign On (SSO)&ID Federated
• Анализ безопасности подключаемого
устройства (security checks)
• Нет требования о контроле встраивания !
• Готовое, сертифицированное решение !
_________________________________________________________________________________________________________________________________________

24. _________________________________________________________________________________________________________________________________________