Контроль использования корпоративных ресурсов

Одним из важных аспектов информационной безопасности компаниив является обеспечение защищенного доступа к корпоративным ресурсам.

Этим элементом может являться любой корпоративный сервис – почтовый, веб, файловый, базы данных, физически образованный сервером или группой серверов, рабочая станция пользователя, сетевое оборудование – коммутатор или маршрутизатор, сегмент вычислительной сети предприятия образованный из этих элементов или корпоративный доступ в сеть Интернет.

Корпоративная политика информационной безопасности предприятия выделяет эти элементы и определяет формальные правил доступа к ресурсам. К задачам корпоративной политике безопасности относится и определение методов обеспечения защиты. Современное оборудование для построения корпоративных сетей несет в себе большой набор технологических решений, позволяющих внедрить различные методы защиты корпоративных ресурсов. Представим некоторые технологии, реализованные в маршрутизаторах и межсетевых экранах CISCO Systems, предназначенные для организации контролируемого доступа к ресурсам.

Межсетевой экран

Позволяет разделять сети по степени доверия, применять корпоративные политики доступа из одного сегмента сети в другой или сеть Интернет. Данная технология встроена в программно-аппаратные решения для защиты сетей PIX и ASA, а также в последнее время нашла применение в многофункциональных маршрутизаторах ISR.

Помимо контроля доступа к различным сетевым сегментам межсетевой экран проводит анализ проходящего трафика. В случае обнаружения подозрительных пакетов или подозрительной сетевой активности межсетевой экран может автоматически заблокировать подозрительный трафик. Анализ трафика может производиться при помощи сигнатур популярных сетевых атак, что позволяет на раннем этапе выделить и предотвратить злонамеренную сетевую активность и защитить корпоративные ресурсы.

Виртуальные частные сети

Виртуальные частные сети VPN позволяют организовать защищенный контролируемый доступ к внутренним ресурсам организации через публичные сети или любые другие недоверенные сети (например, беспроводные). VPN подключение может быть реализовано для отдельного пользователя или для целой сети. VPN сети обеспечивают надежный транспорт с использованием алгоритмов шифрования. В оборудовании CISCO Systems реализованы современные алгоритмы шифрования 3DES и AES c длинами ключей 168 бит и 256 бит соответственно на аппаратном уровне, что позволяет обеспечить высокую скорость VPN туннелей.

WEB VPN

Позволяет организовать удаленный доступ к ресурсам организации через защищенный веб вервис – https. Пользователь получает доступ к веб серверам организации или файловым службам, можно также использовать эту технологию для доступа отдельных приложений удаленного пользователя к внутренним ресурсам компании. Преимущество данной технологии в том, что удаленному пользователю нет необходимости устанавливать специализированное программное обеспечение на свой компьютер, для организации соединения используется штатный веб броузер.

Authentication Proxy

Под названием данной технологии скрывается возможность контроля доступа отдельных пользователей за пределы локальной сети (например, в сеть Интернет). Прежде чем пользователь получит доступ, он должен будет ввести имя и пароль. Маршрутизатор или межсетевой экран перехватывают запросы пользователя к внешним ресурсам (Веб, Telnet или FTP) и предлагают предварительно пройти аутентификацию. После успешного ее прохождения пользователю индивидуально предоставляется доступ в соответствии с корпоративной политикой. Спустя какое-то определенное время активности или неактивности пользователя, ему при повторном подключении будет предложено снова пройти аутентификацию, чтобы убедится, что правами аутентифицированного пользователя не пользуется кто-то нелегально. Преимущество данной технологии в простоте внедрения в инфраструктуру предприятия и отсутствию необходимости приобретать дополнительное оборудование. С помощью данной технологии можно вести индивидуальный учет трафик для каждого пользователя, по окончании сессии на сервер контроля и статистики (RADIUS) может быть сброшена информация о потраченном пользователем трафике.

При обеспечении контролируемого доступа важно сохранить информацию об активности пользователей и сопутствующих событиях. Оборудование Cisco Systems обладает широкими возможностями по ведению журналов. Самым простым способом является хранение информации о событиях непосредственно на маршрутизаторе, однако такое решение имеет множество недостатков и в большинстве случаев является неприемлемым.

Учет подключений пользователей и другую связанную с этим информацию рекомендуются хранить на серверах централизованных серверах аутентификации, таких как RADIUS или TACACS. Маршрутизаторы и межсетевые экраны CISCO Systems могут сбрасывать информацию о событиях на централизованные сервера по технологии syslog.

Приведенные выше технологии лишь небольшая часть того, что может быть реализована при помощи оборудования CISCO Systems для обеспечения защищенного контролируемого доступа, покажем на схеме типовой организации, как эти технологии могут применяться на практике.

Сетевая инфраструктура организации разделена на 3 сегмента – сегмент для подключения оконечных пользователей, защищенный сегмент с основными серверами, требующими дополнительной защиты от неавторизованного доступа внутренних пользователей, сегмент с серверами, обеспечивающий сервисы, доступные из внешней сети. У организации есть филиал, пользователи которого имеют доступ к внутренней инфраструктуре, есть пользователи, которые могут выезжать в командировки, и им также необходим доступ к внутренним ресурсам. Для бизнес-партнеров организации помимо обычного публичного доступа, требуется защищенный доступ к закрытой части web и ftp серверам организации.

Разделение на сегменты производится при помощи маршрутизатора ISR и межсетевого экрана ASA фирмы CISCO Systems . В защищенном внутреннем сегменте расположен сервер управления, который хранит базу данных пользователей и обеспечивает их вутентификацию/авторизацию по протоколу RADIUS. На этом же сервере ведется журналирование событий, происходящих на ISR и ASA.

Трафик между сегментами анализируется на сетевом оборудовании ISR и ASA для обнаружения сетевых атак, вирусной активности. Доступ к внутренним защищенным серверам организации из локальной сети предоставлен ограниченному кругу лиц и защищается при помощи Web VPN, шифрование на транспортном уровне предотвращает возможность перехвата трафика и таком образом неавторизованного ознакомления с конфиденциальной информацией, такой же механизм применяется для доступа партнеров компании к публичным серверам организации. Для контроля доступа к сети Интернет внутренних пользователей применяется технология authentication proxy, позволяющая отследить время работы пользователей в сети и использованный объем трафика.

Таким образом возможно организовать предоставление управляемого защищенного контролируемого доступа к критически важным ресурсам компании.

Вас также могут заинтересовать следующие разделы:

Системы охранной сигнализации для защиты периметра, СОС
Структурированные кабельные системы RiT Technologies
Структурированные кабельные системы и решения Panduit
Оборудование для СКС - поставки и инталляция
Монтаж СКС и все виды инженерно-монтажных работ
IBM - blade сервера, ситемы хранения, высокомасштабируемые системы
Cisco System предлагает новые решения для развития бизнеса