Uniwersalna ochrona z VPN

Sieci VPN zapewniają trzy elementy bezpieczeństwa transmisji danych: uwierzytelnienie, poufność i integralność. Sieci VPN są coraz powszechniej wykorzystywane do zabezpieczania różnego rodzaju transmisji.

Sieci VPN zapewniają trzy elementy bezpieczeństwa transmisji danych: uwierzytelnienie, poufność i integralność. Sieci VPN są coraz powszechniej wykorzystywane do zabezpieczania różnego rodzaju transmisji.

Dwie technologie

Oprogramowanie klienta IPSec nawiązuje połączenie przez Internet do bramy IPSec VPN, po czym inicjowana jest procedura wymiany kluczy IKE (Internet Key Exchange). Po pomyślnym uwierzytelnieniu zdalnej maszyny, zestawiany jest tunel VPN. W tym momencie zdalny komputer staje się częścią sieci prywatnej, podobnie jak komputery bezpośrednio do niej podpięte. IPSec uważany jest za najbezpieczniejszy rodzaj sieci wirtualnej, ponieważ wykorzystuje tzw. silną kryptografię oraz rozbudowane mechanizmy uwierzytelniania. IPSec jest tak naprawdę kolekcją protokołów kryptograficznych i uwierzytelniających.

SSL VPN wykorzystuje mechanizmy szyfrowania i uwierzytelniania, wbudowane w przeglądarkę internetową, tj. SSL/TLS. Zaszyfrowane dane przesyłane są pomiędzy zdalną przeglądarką a bramą SSL. W odróżnieniu od IPSec VPN użytkownik otrzymuje dostęp nie do całej sieci, a tylko do wybranych jej zasobów. Znika występujący w IPSec problem instalacji oprogramowania klienckiego na zdalnej maszynie. SSL oferuje również elastyczność - dostęp z dowolnego miejsca i różnych urządzeń oraz niższe koszty.

Ochrona punktów końcowych VPN polega na sprawdzaniu maszyny klienckiej pod kątem złośliwego oprogramowania oraz czyszczeniu pamięci po zakończeniu sesji. Dla różnych grup klientów można przydzielać odmienne strefy bezpieczeństwa.

Do korzystania z sieci VPN przystosowanych jest coraz więcej urządzeń. IDC ocenia, że co piąty PDA może już korzystać z połączeń VPN, a także niektóre telefony komórkowe. Nowe telefony Motoroli mają instalowane oprogramowanie klienta IPSec, firmy Certicom. Natomiast telefony i PDA wyposażone w przeglądarki mogą domyślnie korzystać z SSL VPN.

Rozwiązania programowe VPN, w tym także open source, nadają się tylko do ograniczonych zastosowań. Przy większej liczbie połączeń/obciążeniu złożoność obliczeniowa przerasta możliwość przeciętnego serwera. Obsługę VPN oferują też osobiste zapory, np. Kerio.

Ochrona danych

Uniwersalna ochrona z VPN

Zabezpieczanie punktów końcowych przez SSL VPN

Sieci VPN mogą być też skutecznym zabezpieczeniem przed wyciekaniem informacji z firmy. Przykładowo oprogramowanie szpiegowskie, zwane spyware, często przesyła poufne informacje do zewnętrznej maszyny. W punktach brzegowych firmowej sieci można wymusić komunikację wyłącznie w tunelach VPN. Wówczas transmisja prowadzona będzie jedynie z użytkownikami, z którymi uda się zastawić ten tunel (mogą mieć zmienne IP), a więc posiadającymi np. odpowiednie klucze kryptograficzne, znającymi hasło itd. Nie dotyczy to tylko programów spyware.

Uwaga na Google Desktop

Specjaliści ds. zabezpieczeń ostrzegają przed aplikacją Google Desktop Search. Aplikacja ta umożliwia przeszukiwanie dysków dostępnych dla danego użytkownika. Przeszukiwane są nie tylko dyski bezpośrednio podłączone do komputera, ale wszystkie te, co do których użytkownik ma prawo odczytu, czyli np. zlokalizowane w firmie, po drugiej stronie tunelu VPN (pliki udostępnione przez innych użytkowników, Sambę, NFS itp.). Indeksowane są nie tylko dokumenty tekstowe, arkusze kalkulacyjne, poczta, wiadomości z komunikatorów, ale również strony http odwiedzane przez użytkowników komputera. Aby to umożliwić, zawartość stron jest zapisywana w pliku tymczasowym. Budzi to jednak spore wątpliwości dotyczące bezpieczeństwa. Dzięki temu nieroztropnemu mechanizmowi inni użytkownicy komputera, w tym także intruzi mogą przeglądać zawartość przejrzanych, firmowych plików. Najnowsza wersja Google Desktop 3 poszła jeszcze dalej i wysyła indeksowane dane na serwery Google. Sprawą obiecał zająć się amerykański ustawodawca.

Na razie jedynym producentem, który chroni firmową sieć przed tym mechanizmem jest Whale Communications. Urządzenia VPN firmy Whale wykrywają działający Google Desktop Search na zdalnych maszynach i go dezaktywują. Zapewne rozwiązanie to z czasem pojawi się również u innych producentów VPN.

Warto zabezpieczać się przed indeksowaniem, tym bardziej że programy indeksujące stają się coraz popularniejsze. Inne narzędzia indeksujące, które pojawiły się na rynku, to m.in. Microsoft MSN WDS, Ask Jeeves Desktop Search, Yahoo! Desktop Search.


TOP 200