Cisco Solution Technology Integrator Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN TM и NME-RVPN TM СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА
Cisco Solution Technology Integrator Область применения Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN TM и NME-RVPN TM Область применения Общие вопросы Дизайн VPN Контроль доступа В ЛВС Доступ в Интернет Управление Критерии выбора продуктов
3 Сценарии удаленного доступа Сценарии удаленного доступа пользователей (Remote Access VPN) применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные (открытые, не заслуживающие доверия) сети/каналы связи
4 Двухэшелонный дизайн Сценарии в настоящем руководстве рассмотрены применительно к двухэшелонному дизайну на основе продуктов Cisco (внешний периметр, голубой цвет) и CSP VPN (красная, защищенная зона) На внешнем периметре сети могут быть реализованы следующие меры защиты (или их комбинации): сетевой контроль доступа (пакетная фильтрация) испытан более чем десятилетней практикой защиты сетей и достаточно надежен практически не имеет альтернатив при необходимости доступа из корпоративной сети в Интернет не обеспечивает полную изоляцию корпоративной сети и аутентификацию доступа пользователей внутрь корпоративного периметра коммутация на основе меток (MPLS VPN) обеспечивает сильный контроль доступа на внешнем периметре не использует криптографической защиты; как следствие – корпоративный трафик может быть защищен от хакерских атак из Интернет, но не может быть защищен от атаки со стороны недобросовестного коммуникационного провайдера защита при помощи IPsec обеспечивает наивысшую степень защиты использует более сложные сценарии защиты и может ограничивать производительность сети
Cisco Solution Technology Integrator Общие вопросы Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN TM и NME-RVPN TM Область применения Общие вопросы Дизайн VPN Контроль доступа В ЛВС Доступ в Интернет Управление Критерии выбора продуктов
6 Сети удаленного доступа характеризуются двумя чертами: высокой размерностью разнородностью парка пользователей Поэтому при построении массовой сети удаленного доступа на первый план выходят вопросы безопасности: проблема доверия: можно ли доверять большой массе пользователей? как реализовать безопасность сети при условии, что среди множества пользователей всегда найдется некоторое количество нелояльных (потенциальных нарушителей)? проблема квалификации: как обеспечить простоту эксплуатации средств защиты? как адаптировать решение к уровню знаний потенциально неквалифицированного пользователя? как защитить систему в целом от ошибки при использовании средств защиты? Проблемы безопасности
7 Подход к решению Решение CSP VPN и сценарии настоящего руководства разработаны в предположении, что массовый пользователь несведущ в области информационной безопасности и, возможно, потенциально нелоялен, поэтому: ему не следует доверять конфигурирование защиты дизайн сети должен исключать появление уязвимостей вследствие нелояльных действий пользователя и его ошибок при использовании средств защиты система должна быть максимально проста в эксплуатации; в идеале – не должна требовать никаких квалифицированных действий пользователя В соответствии с этими принципами: политика безопасности клиента доступа (CSP VPN Client) определяется только системным администратором (администратором безопасности) и не может быть изменена пользователем права доступа пользователя определяются в корпоративной сети и информация о правах доступа в корпоративной сети отсутствует на клиенте доступа (CSP VPN Client) клиент доступа (CSP VPN Client) не требует от пользователя никаких технических операций кроме установки ПО и ввода, предоставленного администратором безопасности, ключа
8 Основные реализационные вопросы При разработке сетей удаленного доступа возникает ряд реализационных вопросов, к важнейшим можно отнести: 1.Как безопасно осуществлять доступ в Интернет и в корпоративную сеть? 2.Как управлять политикой безопасности VPN- клиента? 3.Как управлять политикой доступа пользователей во внутреннем периметре корпоративной сети? 4.Как в массовом парке пользователей организовать аутентификацию? распространение ключей? развертывание системы?
Cisco Solution Technology Integrator Дизайн VPN Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN TM и NME-RVPN TM Область применения Общие вопросы Дизайн VPN Контроль доступа В ЛВС Доступ в Интернет Управление Критерии выбора продуктов
10 Сколько концентраторов доступа? Нецелесообразно принимать VPN-трафик удаленных пользователей на всякий VPN шлюз корпоративной сети (усложняется топология, политика и эксплуатация VPN) Концентраторы удаленного доступа целесообразно распределять: в регионах, где требуется удаленный доступ множества пользователей (для межрегиональных сетей) при наличии местных Интернет- провайдеров в регионах доступ на концентратор в соседний регион не составляет существенных дополнительных затрат для крупных сетей удаленного доступа – резервировать концентратор доступа в местах дислокации информационных ресурсов, к которым осуществляется удаленный доступ
11 Структура соединения 1.Удаленный клиент устанавливает соединение с Интернет сервис провайдером протокол (Ethernet, PPP и т.п.) зависит от среды передачи (LAN, модем, GPRS, DSL) адреса этого соединения конфигурируются сервис- провайдером 2.Подсоединившись к Интернет, удаленный клиент устанавливает IPsec-туннель с защищенным периметром корпоративной сети адрес со стороны клиента – определяется сервис-провайдером со стороны корпоративной сети – туннельный адрес VPN-шлюза 3.Внутри IPsec-туннеля клиент работает с внутренними ресурсами сети по протоколу IP адрес клиента в этом соединении может конфигурироваться шлюзом получив внутренний адрес, клиент становится как бы «внутренним хостом» корпоративной сети
12 Особенность удаленного доступа В межсетевых сценариях фильтр на внешнем периметре точно знает адреса всех партнеров по взаимодействию трафик от всех неизвестных адресов будет сбрасываться без всякой обработки В сценариях удаленного доступа адреса удаленных партнеров часто неизвестны поэтому внешний фильтр пропускает на туннельный адрес концентратора IKE/IPsec от всех потенциальных партнеров это делает VPN удаленного доступа более уязвимой для атаки отказа в обслуживании (DoS) дизайн протокола IKE выполнен так, чтобы максимально затруднить DoS-атаку, но исключить ее полностью нельзя
13 Выделенная или совмещенная сеть? Существует две возможности построения сети удаленного доступа: 1.использование шлюзов безопасности межсетевой магистрали (В, backbone) в качестве концентраторов доступа (совмещенные VPN сети) 2.использование выделенного шлюза безопасности в качестве концентратора доступа (C, concentrator) C точки зрения защищенности некоторым преимуществом обладает схема с выделенным концентратором можно дополнительно защитить шлюзы межсетевой магистрали от DoS-атаки Схема с выделенным концентратором дороже в начальном развертывании (дополнительное устройство) лучше масштабируется, оптимизирует производительность проще в эксплуатации (определение и модификации политики безопасности) позволяет построить корпоративную VPN с выделением магистрали
14 Дизайн совмещенных VPN Для совмещенной сети шлюз безопасности межсетевой магистрали и концентратор доступа – одно устройство Политики безопасности для этих сценариев аналогичны описанным в руководстве «Сценарии защиты межсетевых взаимодействий на основе продуктов CSP VPN»
15 Дизайн VPN с выделенным концентратором В VPN удаленного доступа с выделенным концентратором для доступа пользователей используется шлюз-концентратор (C, concentrator) и отдельный шлюз VPN для межсетевых взаимодействий (B, backbone) физически тот и другой шлюзы – программно- аппаратные комплексы CSP VPN Gate Варианты топологического дизайна при этом практически совпадают с топологический дизайном совмещенных сетей (предыдущий слайд)
16 Политика безопасности. Вариант 1 Политика безопасности для этого варианта выполняется межсетевым экраном внешнего периметра и шлюзами безопасности внутреннего периметра рисунок показан для VPN-сети с выделенным концентратором; для совмещенной сети, правила, связанные с пропусканием IPsec на внешнем периметре и правила шифрования трафика пишутся для одного VPN-шлюза Дополнительно к показанным на рисунке правилам может применяться IPsec/AH или MPLS-туннель на межсетевых экранах (маршрутизаторах) внешнего периметра для обеспечения изоляции межсетевой магистрали
17 Политика безопасности. Вариант 2 Политика безопасности практически совпадает с вариантом 1 Преимущество варианта 2 состоит в том, что IP-трафик внешнего периметра и IPsec- трафик внутреннего периметра физически разделены по различным интерфейсам контроль доступа во внутренний и внешний сегменты более надежен на интерфейсах внутреннего сегмента полностью отсутствует открытый IP- трафик – этот факт легко контролируемся, например, при помощи систем обнаружения проникновения
Cisco Solution Technology Integrator Контроль доступа в локальной вычислительной сети Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN TM и NME-RVPN TM Область применения Общие вопросы Дизайн VPN Контроль доступа В ЛВС Доступ в Интернет Управление Критерии выбора продуктов
19 Контроль доступа внутри сети В качестве основной защиты во внутреннем периметре используется сетевой контроль доступа (пакетный фильтр) Недостаток традиционной пакетной фильтрации в том, что трафик идентифицируется по IP- адресам и портам информация о пользователе, порождающем трафик, присутствующая пакетах IPsec, теряется в «чистом» IP «после IPsec» однако в сценариях межсетевого доступа существует возможность обеспечить разграничение прав доступа для отдельных групп пользователей даже «после IPsec» эта схема использует протокол динамического конфигурирования адресов удаленных пользователей IKE CFG
20 Постановка задачи Два удаленных пользователя принадлежат у двум группам доступа: А и Б пользователи А и Б должны иметь доступ только к «своим» ресурсам внутри сети До концентратора удаленного доступа работает протокол IPsec и мы точно знаем, кому принадлежит каждый пакет После концентратора, работает протокол IP, который не обеспечивает аутентификацию пользователя у межсетевого экрана «позади» концентратора доступа исчезает доказательная информация о том, какому пользователю принадлежит данный пакет Вопрос: можем ли мы при помощи межсетевого экрана организовать эффективное разделение трафика пользователей А и Б?
21 Решение При помощи протокола IKE CFG пользователям А и Б присваиваются «внутренние» IP- адреса из двух разных пространств (подсетей) это – внутренние (незарегистрированные в Интернет) адресные пространства, число и емкость таких адресных пространств практически не ограничены логически все организовано так, как если бы пользователи А и Б находились в сетевых сегментах А и Б внутри защищенного периметра в Интернет эти адреса не видны (скрыты в туннеле IPsec) Поскольку пользователи из групп А и Б строго ассоциированы с адресами подсетей А и Б, внутренний межсетевой экран легко разделит доступ пользователей из различных групп
22 Конфиденциальность во внутр. периметре В сценариях удаленного доступа, как и в межсетевых сценариях, конфиденциальность трафика можно обеспечить построением иерархии «вложенных VPN», например: уровень доверия 0 (самый низкий): ресурсы Интернет уровень доверия 1: ресурсы внешнего периметра (например, хост H1) уровень доверия 2: ресурсы VPN (сервер S1, хосты H2 и H3, шлюз G1 и защищаемая им подсеть SN1) внутри VPN c уровнем доверия 2 построена VPN-сеть, образованная сервером S2 и двумя клиентскими хостами H3 и H4 с уровнем доверия 3 при этом ресурсы с уровнем доверия 2 «видят» трафик этой сети только в шифрованном виде, а ресурсы с уровнем доверия 1 даже не знают о существовании сети с уровнем доверия 3 (не видят ее пакетов вообще)
Cisco Solution Technology Integrator Доступ в Интернет Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN TM и NME-RVPN TM Область применения Общие вопросы Дизайн VPN Контроль доступа В ЛВС Доступ в Интернет Управление Критерии выбора продуктов
24 Проблема доступа в Интернет Удаленный пользователь, получающий доступ в корпоративную сеть и поддерживающий одновременно соединение с сетью Интернет, создает, как минимум, два типа уязвимостей: 1.если его компьютер компрометирован, то через него нарушитель может провести транзитную атаку на ресурсы корпоративного периметра 2.такой компьютер может служить пунктом передачи вирусов, закладок (trojan horses, spyware) и прочего опасного кода внутрь корпоративной сети опасный код может передаваться также и в случаях, когда компьютер удаленного пользователя никогда не поддерживает одновременных соединений с корпоративной сетью и Интернетом
25 Техника split tunnel Split tunnel в документации Cisco SAFE называют конфигурацию, в которой компьютер удаленного пользователя поддерживает одновременно VPN-туннель и открытое соединение c Интернет При этом Cisco SAFE рекомендует на клиентском хосте обязательно применять 1.антивирусный клиент 2.personal firewall это средство, несмотря на наименование firewall (межсетевой экран) на самом деле осуществляет контроль за наличием в системе паразитных процессов (закладок и т.п.) как меры дополнительной защиты во внутреннем периметре рекомендуется установить: 3.антивирусный шлюз во внутреннем сегменте 4.средства обнаружения проникновения и противодействия атаке 5.средства защиты информации прикладного уровня при этом права доступа удаленного пользователя должны быть ниже прав администратора
26 И все таки, использовать ли split tunnel? Мы бы не рекомендовали использовать split tunnel. причины: массовый пользователь может быть неквалифицирован и может быть нелоялен; корректно предположить, что персональные средства защиты используются им неадекватно (например, не обновляются вовремя антивирусные базы данных) ряд закладок (особенно класса spyware), новые клоны вирусов и некоторые транзитные атаки могут быть принципиально недетектируемы Сертифицированные средства типа personal firewall (как средства контроля за паразитными процессами, такие, как ZoneAlarm) пока не представлены на рынке российскими производителями Как же быть? См. альтернативный дизайн на следующих слайдах
27 Альтернативный дизайн: изоляция сети Мы рекомендуем дизайн с изоляцией сети удаленного доступа: 1.политика безопасности клиента исключает возможность прямого доступа в Интернет пользователь не может изменить эту политику 2.по IPsec (в режиме «только IPsec») удаленный клиент «приходит» в корпоративную сеть 3.при помощи IKE CFG его IP-адрес конфигурируется, как адрес внутреннего хоста корпоративной сети это практически эквивалентно перемещению удаленного хоста внутрь корпоративной сети 4.далее удаленный клиент получает доступ в Интернет на основе правил и процедур, единых для всех внутренних пользователей
28 Реализация политики доступа Тот факт, что все (в т.ч. удаленные) пользователи корпоративной сети используют единый узел доступа в Интернет, позволяет эффективно инвестировать средства в создание мощного централизованного узла защиты основным средством защиты является мощный межсетевой экран (рекомендуемая платформа – Cisco PIX) дополнительными средствами защиты являются: 1.антивирусный шлюз, фильтр опасного кода, возможно – контентный фильтр 2.прокси-сервер (опция) 3.система обнаружения аномальных активностей, противодействия атакам, мониторинга, событийного протоколирования (аналогичные системы целесообразно использовать для анализа трафика пользователей «после IPsec», 4)
29 Изоляция сети удаленного доступа Преимущества: безопасность полный контроль: предприятие может управлять Интернет-доступом пользователей инвестиции в один (или несколько) узел доступа вместо построения множества защищенных клиентов на едином узле доступа в Интернет можно использовать более мощные серверные средства контроля простота управления контролем за исполнением заданной политики безопасности: администрируется и инспектируется один узел вместо множества распределенных клиентов независимость от квалификации и лояльности конечного пользователя Недостатки: корпоративный трафик доступа в Интернет несколько увеличивается трафик пользователей удаленного доступа в Интернет через корпоративную сеть по IPsec делает два лишних прохода не очень важно, поскольку Интернет трафик дешев
Cisco Solution Technology Integrator Управление Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN TM и NME-RVPN TM Область применения Общие вопросы Дизайн VPN Контроль доступа В ЛВС Доступ в Интернет Управление Критерии выбора продуктов
31 Понятие политики безопасности Политика безопасности VPN- агента – это набор правил, определяющих, кому, с кем и в каком режиме защиты разрешено взаимодействовать Политика безопасности устройств Cisco и CSP VPN обеспечивает тонкую грануляцию политик доступа, т.е. возможность создавать правила для следующих объектов: подсетей, групп компьютеров индивидуальных компьютеров и отдельных пользователей отдельных приложений В задаче построения сети удаленного доступа возникает подзадача управления политиками VPN-клиентов удаленных пользователей
32 Три подхода к управлению VPN-клиентом Существует три общих подхода к управлению политиками безопасности VPN-клиентов: 1.локальное управление политикой безопасности (политика безопасности определяется самим пользователем) требуется достаточная квалификация пользователя для того, чтобы его действия не привели к компрометации системы требуется доверие к пользователю 2.централизованное управление политикой безопасности политика безопасности конфигурируется с централизованной платформы управления; при этом иногда конечный пользователь не получает права на управление политикой от пользователя могут не требоваться квалификация и лояльность, однако возникает дополнительная задача формирования политик доступа для парка пользователей, контроль их актуальности, трафик обновления политик 3.политика VPN-клиента неизменна, правила защиты системы определяются со стороны шлюзов безопасности и серверов лояльность и квалификация пользователя не требуются система упрощается, нет дополнительных операций с распространением, актуализацией и обновлением политик пользователей требуется специальная архитектура системы В решении CSP VPN принят третий подход
33 Персонализация установочных пакетов Процедура подготовки VPN-клиентов: 1.системный администратор получает дистрибутивный пакет CSP VPN Client, готовит атрибуты аутентификации (ключи, сертификаты) и политики доступа пользователей 2.на основе этих данных при помощи штатных утилит из дистрибутива для каждого пользователя готовится персональный установочный пакет, содержащий политику доступа данного пользователя 3.персональные установочные пакеты доставляются пользователям персональный установочный пакет не содержит критичных данных, защищен паролем и по этому его можно доставлять по незащищенном каналу (e- mail, HTTP) 4.по доверенному каналу пользователям доставляются контейнеры с секретными ключами и пароли для установки 5.пользователи производят установку продуктов и загрузку ключей, VPN- клиент готов к работе
34 Политики доступа пользователей Политики доступа пользователей, помещаемые в установочные пакеты, могут быть сколь угодно сложными Однако рекомендуемой является схема, в которой политики доступа пользователей содержат лишь список правил для доступа в корпоративный периметр рекомендуется использовать несколько концентраторов доступа в целях резервирования концентраторы доступа могут быть расположены в различных регионах Доступ в Интернет рекомендуется осуществлять через корпоративный шлюз доступа
35 Выбор точки доступа При наличии нескольких (резервных) точек входа в корпоративную сеть, системный администратор может установить два варианта выбора первого концентратора доступа: 1.приоритетный выбор: сначала первый концентратор, затем второй и т.д. в этом случае все пользователи «приходят» в корпоративную сеть через первый концентратор и только в случае его отказа – пробуют альтернативные возможности 2.случайный выбор: первым устанавливается соединение с любым, случайно выбранным концентратором при случайном выборе реализуется выравнивание нагрузки на всех резервирующих друг друга концентраторах
36 Управление политикой внутри сети Управление политикой доступа пользователей внутри сети реализуется путем объединения адресов VPN-клиентов, соответствующих заданной группе доступа пользователей, в отдельный адресный пул и, далее, путем сетевого контроля доступа (пакетной фильтрации и коммутации) на основе IP-адресов из этого пула это дает возможность применить к удаленным пользователям все те меры безопасности, которые применяются ко внутренним пользователям корпоративной сети В случае необходимости построить более сложную систему контроля доступа можно применять «вложенные» VPN При этом все права доступа пользователей настраиваются только на уровне шлюзов безопасности корпоративной сети. Политика доступа VPN-клиентов при изменении прав доступа пользователей внутри сети не меняется
37 Актуализация политик пользователей В описанной схеме политику доступа пользователей приходится изменять относительно редко тем не менее, ее приходится менять, например, при изменении состава концентраторов доступа Замену политики можно выполнить, создавая новые установочные пакеты пользователей по обычной процедуре С учетом того, что при замене политики не требуется замена ключей и сертификатов (для чего должен использоваться доверенный канал доставки), операция нетрудоемка и сводится к распространению пакетов, например, с веб-сайта
Cisco Solution Technology Integrator Критерии выбора продуктов Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN TM и NME-RVPN TM Область применения Общие вопросы Дизайн VPN Контроль доступа В ЛВС Доступ в Интернет Управление Критерии выбора продуктов
39 Размер парка удаленных пользователей При выборе концентратора удаленного доступа следует выбирать шлюз безопасности поддерживающий необходимое количество конкурентных защищенных соединений см. слайды «Выбор типа лицензии» и «Емкость концентратора» обеспечивающий необходимую суммарную производительность В случае, если парк удаленных пользователей велик (трафик удаленного доступа составляет свыше 20-30% производительности шлюза безопасности) рекомендуется установка выделенного концентратора доступа
40 Производительности концентраторов
41 Выбор типа лицензии Лицензия на шлюз безопасности определяет число одновременно поддерживаемых VPN-соединений (IPsec SA) В сетях защищенного удаленного доступа следует руководствоваться следующими правилами: число защищенных туннелей должно быть превосходить максимальное число одновременно работающих пользователей время жизни защищенного соединения (IPsec SA) следует устанавливать сравнимым со средним временим сеанса подключения одного пользователя или короче более короткое время жизни соединения приведет к весьма незначительному увеличению трафика и никак не повлияет на длительность реального сеанса пользователя Для концентраторов удаленного доступа можно рекомендовать расширенные типы лицензий: «V» – для шлюзов CSP VPN Gate 100 и 1000 «Security Bundle» – для модулей NME-RVPN
42 Емкость концентратора В таблице приведены оценки числа конкурентных защищенных туннелей, которые можно терминировать на одном концентраторе. Оценки выполнены для высокой (близкой к предельной) загрузке каждого клиентского канала
43 Характеристики платформ
Cisco Solution Technology Integrator Вопросы? Обращайтесь к нам! КОНТАКТЫ web: Тел.:+7 (499) (495) Факс:+7 (499)